Я хотел увидеть заголовок отчета в действии и добавил в свое веб-приложение следующие заголовки ответов.
content-security-policy: default-src 'self'; style-src 'self' 'unsafe-inline'; font-src 'self'; img-src 'self'; script-src 'self'; frame-src 'self'; connect-src 'self'; upgrade-insecure-requests; report-uri https://localhost:44315/api/reporturi ;
expect-ct: max-age=31536000, report-uri="https://localhost:44315/api/expect-ct-test"
nel: {"report_to":"default","max_age":31536000,"include_subdomains":true}
report-to: {"max_age": 2592000,"endpoints": [ { "url": "https://localhost:44315/api/report-to-test" } ]}, {"group": "csp-endpoint","max_age": 2592000,"endpoints": [ { "url": "https://localhost:44315/api/report-to-test" } ]}, {"group": "network-errors","max_age": 2592000,"endpoints": [ { "url": "https://localhost:44315/api/report-to-test" } ]}
У меня есть пара встроенных изображений в html, которые вызывают нарушения CSP и следовательно, ожидал, что браузеры будут отправлять отчеты о нарушении CSP на конечные точки для отправки отчетов, показанные выше. Однако ни один из браузеров, которые я пробовал (Chrome Версия 83.0.4103.116, Firefox 78.0.1, Edge Version 83.0.478.61), не запускает конечные точки отправки отчетов, а вместо этого вызывает конечную точку report-uri.
Как заставить браузеры вызывать конечную точку отчета?