CSP-Bericht meldet keine passiven gemischten Inhalte?

Ich verwende die folgende Richtlinie. Es werden keine passiven gemischten Inhalte wie Bilder, die mit http geladen wurden, über eine Seite im iframe gemeldet.CSP-Bericht meldet keine passiven gemischten Inhalte?

default-src https:; report-uri <https reporting endpoint>;

Offenbar Block-all-mixed-Content-Richtlinie funktioniert auch nicht: https://github.com/w3c/webappsec-csp/issues/26

Versucht eine detailliertere Politik wie in https://www.owasp.org/index.php/Content_Security_Policy_Cheat_Sheet#Mixed_Content_Policy mit img-src https: data: auch. Aber das funktioniert auch nicht.

Kann die CSP-Berichterstellung nicht für passive gemischte Inhalte verwendet werden?

Quelle

2017-01-13 Vamsi

Es hat auch nicht für mich funktioniert. Ich habe viele Beschreibungen gelesen und bin mehr verwirrt als je zuvor. –

Firefox 56.0.2 (32). –

CSP "tröpfelt" nicht auf Seiten, die in einem Iframe geladen sind, es gilt nur für die Ressource, mit der es geliefert wurde. Wenn Sie einen CSP für die Seite im Iframe deklarieren möchten, müssen Sie auch für diese Seite einen CSP-Header einfügen.

Quelle

2017-01-14 20:43:57 klings

Ich habe keine Iframes auf meiner Website, aber es ist https mit einem http-Bild und ich kann keinen Fehler aus csp bekommen. So verwirrt. Firefox 56.0.2 (32). –

CSP-Bericht meldet keine passiven gemischten Inhalte?

Antwort

Verwandte Themen