如何在rails app中查看内容安全策略违规报告?

时间:2013-09-03 07:33:45

标签: ruby-on-rails browser gem content-security-policy

我使用了secure_headers gem https://github.com/twitter/secureheaders,我将csp配置为

config.csp = {
:enforce => true,
:default_src => 'http://* inline',
:report_uri => "/report",
:connect_src => 'self',
:style_src => 'self inline',
:script_src => 'self inline eval',
:font_src => 'self'
}

但我仍无法在http://localhost:3000/report中查看报告,而且页面未重定向

2 个答案:

答案 0 :(得分:4)

编辑:

https://report-uri.io/提供CSP报告功能。他们给你一个报告 - uri,他们管理传入的报告!

目前,gem没有任何内置支持来聚合/查看报告。这个问题让我思考,所以我提交了https://github.com/twitter/secureheaders/issues/71

请添加您的想法。我认为构建有意义的东西并不是一项微不足道的任务,但我开始意识到它有多么宝贵。还有很多低悬的水果,暂时可能还不错。

答案 1 :(得分:2)

Secure Headers Gem不提供CSP违规的报告端点。这是你必须自己构建或使用提供开箱即用的解决方案的东西。

我概述了使用Ruby on Rails部署内容安全策略的不同方法,包括SecureHeaders Gem和Templarbit(包括报告端点):https://www.templarbit.com/blog/2018/03/14/content-security-policy-with-ruby-on-rails

相关问题
最新问题