我對 CSP 報告資料有問題(僅內容安全策略報告)。
在報告中我只得到根域 https://******.com。但我期待完整的路徑。
Referrer始終為空,但我需要獲取此資料。
例如:<iframe src="https://*******.com/en/login" width="800" height="800" title="Test Frame"></iframe>。
有人可以幫我解決這個問題嗎?
標題:'內容-安全-策略-僅報告:框架祖先'自我';報告-uri https://******.com/api/security-report'
{
"csp-report": {
"document-uri": "https://******.com/",
"referrer": "",
"violated-directive": "frame-ancestors",
"effective-directive": "frame-ancestors",
"original-policy": "frame-ancestors 'self'; report-uri https://******.com/api/security-report",
"disposition": "report",
"blocked-uri": "https://******.com/",
"status-code": 200,
"script-sample": ""
}
}
uj5u.com熱心網友回復:
根據這篇文章:
該規范進一步指出,如果違規 URI 與檔案 uri 來自同一來源,則可以保留 URI 片段。如果不是,則只應報告 URI 來源。只有 Firefox 錯誤地做到了這一點。對于 Firefox 5.0 - 41.0,它總是為每個blocked-uri 值報告完整的URI,包括片段。所有其他報告阻止 uri 的瀏覽器(一些較舊的瀏覽器沒有)在正確的情況下正確報告帶有和不帶片段的 URI。
您獲得的blocked-uri可以根據發生違規的來源、您使用的瀏覽器-您的csp版本等而有所不同。您可以更改其中任何一個以再次測驗您的要求。
關于推薦人,您沒有任何推薦人觸發 CSP 報告,因為沒有任何違規資源是由推薦人引起的。
- 這篇文章也將用清晰的解釋來說明這一點。
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/398121.html