web-dev-qa-db-fra.com

Mise en oeuvre de l'en-tête CSP3 Report-To

Problème

De nombreux validateurs CSP comme cspvalidator.org me disent que:

Un brouillon de la prochaine version de CSP rend obsolète report-uri au profit d'une nouvelle directive de reporting.

J'ai trouvé plus d'informations à ce sujet sur wicg.github.io , mais je n'ai pas trouvé d'exemple/de solution.

Question

Comment implémenter correctement l'en-tête HTTP Report-To dans Apache 2?

Cela ne génère pas d'erreur, mais n'exécute pas non plus le script lié dans Firefox 49 et Chrome 53:

Header set Report-To "{'url': 'https://website.com/csp-report.php', 'group': 'csp-endpoint', 'max-age': 10886400}"

Avec l'en-tête Content-Security-Policy implémenté comme ceci:

Header set Content-Security-Policy "default-src 'none'; report-to csp-endpoint"
apache2http-headers
2
Dargmuesli

Il y a des exemples dans le projet de la directive Report-To:

Report-To: { "url": "https://example.com/reports",
                    "group": "endpoint-1",
                    "max-age": 10886400 };

Votre règle est correctement créée, car elle renvoie un objet JSON valide, mais comme l'API de rapport est toujours brouillon, la plupart des agents d'utilisateur ne l'ont pas encore implémentée. Vous pouvez simplement avoir les deux en-têtes, report-uri et Report-To entre temps si vous le souhaitez, sous la forme l'un serait ignoré de toute façon :

Remarque: La directive report-uri est obsolète. Veuillez utiliser la directive report-to à la place. Si cette dernière directive est présente, cette directive sera ignorée. Pour assurer la compatibilité ascendante, , nous suggérons de spécifier les deux , comme ceci:

Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname
1
Braiam

Il semble que l'en-tête report-to ait été remplacé par un champ report-uri dans le CSP. Voici un document de la fondation Mozilla qui explique comment utiliser la fonctionnalité de création de rapports des stratégies de sécurité du contenu: https://developer.mozilla.org/en-US/docs/Web/Security/CSP/Using_CSP_violation_reports =

Il suggère de placer l'URL du rapport directement dans l'en-tête CSP, comme suit:

Content-Security-Policy: default-src 'self'; report-uri http://reportcollector.example.com/collector.cgi

Il contient également des informations détaillées sur le format et la syntaxe des rapports afin que vous puissiez les implémenter vous-même.

0
Stephen Ostermiller