Ich verwende die folgende Richtlinie. Es werden keine passiven gemischten Inhalte wie Bilder, die mit http geladen wurden, über eine Seite im iframe gemeldet.CSP-Bericht meldet keine passiven gemischten Inhalte?
default-src https:; report-uri <https reporting endpoint>;
Offenbar Block-all-mixed-Content-Richtlinie funktioniert auch nicht: https://github.com/w3c/webappsec-csp/issues/26
Versucht eine detailliertere Politik wie in https://www.owasp.org/index.php/Content_Security_Policy_Cheat_Sheet#Mixed_Content_Policy mit img-src https: data:
auch. Aber das funktioniert auch nicht.
Kann die CSP-Berichterstellung nicht für passive gemischte Inhalte verwendet werden?
Es hat auch nicht für mich funktioniert. Ich habe viele Beschreibungen gelesen und bin mehr verwirrt als je zuvor. –
Firefox 56.0.2 (32). –