概述
通过 report-to 或旧版 report-uri 将CSP违规事件上报到可控端点,结合聚合与规则自动化修复资源来源与策略,降低安全风险与迭代成本。
关键实践与参数
- 头部:
Content-Security-Policy与Report-To - 事件类型:脚本、样式、混合内容、连接、内联执行等
- 聚合治理:按域名与路径聚合,生成修复清单
- 保留与审计:保留事件与决策日志
示例/配置/实现
Report-To: {"group":"csp","max_age":10800,"endpoints":[{"url":"https://csp.example.com/reports"}]}
Content-Security-Policy: default-src 'self' https:; report-to csp
// Node 服务端接收CSP违规报告(示意)
app.post('/reports', express.json({ type: 'application/reports+json' }), (req, res) => {
const events = req.body
// 聚合与入库
res.status(204).end()
})
验证
- 上报成功:触发违规后端点收到报告
- 聚合正确:按域名/路径聚合生成可操作清单
- 自动化:在预生产环境自动应用修复策略并回归测试
- 审计:保留事件与修复记录
注意事项
- 兼容旧版
report-uri - 报告端点需鉴权与防刷
- 与混合内容与SRI治理协同
- 隐私与合规要求
发表评论 取消回复