我们已经在我们的Huuuge一页Web应用程序中实现了CSP。我们不断遇到错误,并且某些错误是由于用户形式输入不当而导致的,有些似乎来自用户的浏览器。
当CSP异常发生时,是否有一种方法可以在客户端收集更多数据?服务器端报告错过了重要数据。我们知道源URL,阻止了URL,违反了规则/指令...但这无济于事,因为我们目前不知道屏幕上的内容以及是否是用户的浏览器要怪。
我们需要知道
- 在时间/js层/详细信息 时正在查看Javscript模块
- 在哪里请求该资源 - 在某些机器人注入未清洗的表单上的HTML的错误是我们的错是我们的错吗?
是否有一些挂钩window.oncspexception =我们可以挂接并运行客户端分析的func?我们需要将快速问题与客户浏览器的问题区分开。
https://developer.mozilla.org/en-us/docs/web/http/csp#enabling_reporting:
默认情况下,未发送违规报告。要启用违规报告,您需要指定报告-URI政策指令,至少提供一个提供报告的URI:
Content-Security-Policy: default-src 'self'; report-uri http://reportcollector.example.com/collector.cgi然后,您需要设置服务器以接收报告;它可以以您认为合适的任何方式存储或处理它们。