CSP3 Report-Toヘッダーの実装
問題
cspvalidator.orgのような多くのCSPバリデーターは次のことを教えてくれます:
CSPの次のバージョンのドラフトでは、report-uriが廃止され、新しいreport-toディレクティブが採用されました。
wicg.github.io でこれに関する詳細を見つけましたが、例/解決策が見つかりませんでした。
質問
Apache 2でReport-To HTTPヘッダーを適切に実装するにはどうすればよいですか?
これはエラーをスローしませんが、Firefox 49およびChrome 53のリンクされたスクリプトも実行しません。
Header set Report-To "{'url': 'https://website.com/csp-report.php', 'group': 'csp-endpoint', 'max-age': 10886400}"
Content-Security-Policyヘッダーを次のように実装すると:
Header set Content-Security-Policy "default-src 'none'; report-to csp-endpoint"
Report-Toディレクティブの ドラフト に例があります。
Report-To: { "url": "https://example.com/reports",
"group": "endpoint-1",
"max-age": 10886400 };
有効なJSONオブジェクトを返すようにルールは正しく作成されますが、Reporting APIはまだドラフトであるため、ほとんどのUAはそれを実装する必要がありません。必要に応じて、report-uriヘッダーとReport-Toヘッダーの両方を単純に持つこともできます。 どちらか一方は無視されます :
注:report-uriディレクティブは非推奨です。代わりにreport-toディレクティブを使用してください。後者のディレクティブが存在する場合、このディレクティブは無視されます。後方互換性を確保するために、このように両方を指定することをお勧めします:
Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname
report-toヘッダーがCSPのreport-uriフィールドに置き換えられているようです。コンテンツセキュリティポリシーのレポート機能の使用方法を説明するMozilla Foundationのドキュメントは次のとおりです。 https://developer.mozilla.org/en-US/docs/Web/Security/CSP/Using_CSP_violation_reports =
レポートのURLをCSPヘッダーに直接挿入することをお勧めします。
Content-Security-Policy: default-src 'self'; report-uri http://reportcollector.example.com/collector.cgi
また、レポートを自分で実装できるように、レポートの形式と構文に関する詳細情報も含まれています。