私は以下のポリシーを使用しています。 iframeのページでhttpを使用して読み込まれた画像のような受動的な混合コンテンツは報告されていません。CSPレポートのみパッシブな混合コンテンツは報告されませんか?
default-src https:; report-uri <https reporting endpoint>;
どうやら、ブロック・オール・混合コンテンツディレクティブも動作しません:https://github.com/w3c/webappsec-csp/issues/26
は、同様にimg-src https: data:
でhttps://www.owasp.org/index.php/Content_Security_Policy_Cheat_Sheet#Mixed_Content_Policyような、より詳細なポリシーを試してみました。しかし、それはうまくいきません。
受動的な混在コンテンツに対してCSPレポートが機能しないのですか?
私にとってはうまくいかなかった。私は多くの説明を読んで、これまで以上に混乱しています。 –
Firefox 56.0.2(32)。 –