我使用以下政策。它不会报告被动混合内容,例如iframe中的页面使用http加载的图像。
default-src https:; report-uri <https reporting endpoint>;
显然,block-all-mixed-content指令也不起作用:https://github.com/w3c/webappsec-csp/issues/26
尝试更详细的政策,例如https://www.owasp.org/index.php/Content_Security_Policy_Cheat_Sheet#Mixed_Content_Policy和img-src https: data:。但这也行不通。
CSP报告是否适用于被动混合内容?
答案 0 :(得分:0)
CSP不会“涓滴”到iframe中加载的网页,它只适用于随附的资源。如果要在iframe中为页面声明CSP,则还必须为该页面包含CSP标头。