HTML标头内容安全政策没有向文件报告
问题描述:
在阅读an introduction to CSP和CSP website后,我想在我的网站上获得CSP违规的反馈日志。HTML标头内容安全政策没有向文件报告
所以,我设置了一个头在我的.htaccess作为链路上面定义:
Header set Content-Security-Policy "default-src 'self' https://www.google-analytics.com https://www.jscache.com;"
这作品,但由于种种原因,还有一些仍在阻止其他实体,所以我想以设置CSP 报告。同样,在上面链接的文件中清楚地解释了一些内容。
而回到我.htaccess我更换行:
Header set Content-Security-Policy-Report-Only "default-src 'self'; report-uri /csp_report_parser.txt;"
,我想报告所有非自申请到一个文件中,/csp_report_parser.txt。这个文件我已经在同一个地方作为.htaccess创建,但该文件无法被填充,尽管萤火虫反馈,指出:
内容安全策略:该页面的设置观察到的资源的加载在https://www.google-analytics.com/analytics.js(“默认-src http://mywebsite“)。 CSP报告正在发送。
许多这些每次都说明“正在发送CSP报告”。这个报告应该被发送到的文件存在,并且我已经给予了权限777,但是该文件仍然是空白的。
我错过了哪些报告反馈到文件中?
我也曾尝试指定一个绝对URL向如报告:
Header set Content-Security-Policy-Report-Only "default-src 'self'; report-uri http://mywebsite/csp_report_parser.txt;"
但同样,我的域名此文件浏览器,尽管萤火声明如上保持空白。
答
虽然我期待的JSON格式是什么其实我neeeded数据转储是处理过的数据,以将数据保存到文件之前使用PHP json_decode功能倾倒第一。
$data = json_decode(file_get_contents('php://input'), true);
file_put_contents('csp_report_parser.txt',print_r($data,true),FILE_APPEND);