2016-05-25
Mixed ContentのブロックされたURIをレポートさせる仕様追加
Mixed Content
Mixed Contentと言う仕様により、httpsで提供しているページの中でhttpで提供するリソース(script等)があるとそのリソースはブロックされます。
このMixed Contentには、Content Security Policyのblock-all-mixed-contentディレクティブも定義されています
Content-Security-Policy: block-all-mixed-content
このディレクティブは、scriptなどのBlockable Contentだけでなく、画像や動画といったOptionally-blockable Contentもブロックするようにするためのディレクティブです。
このblock-all-mixed-contentの仕様にレポート機能が追加された模様(間違い等あればご指摘下さい
violation reports
このcspのblock-all-mixed-contentディレクティブは今までレポート機能はありませんでしたが、先日レポート機能が追加されました。(commit)
もともとCSPにはレポート機能があり、違反した時に設定したreport-uriへjsonで違反情報が送信されます。block-all-mixed-contentでも、このCSPの仕様に則る形になりました。
つまり、リクエストされたURLがviolation’s resourceにセットされ、blocked-uriとしてレポートされるようになります。
Chromeでは、このレポート機能は既に開発中です(URL)。もちろん、実際にブロックは行なわずレポートだけする Content-Security-Policy-Report-Onlyもサポートされていそうです。
Permalink | コメント(0) | トラックバック(0) | 01:47
トラックバック - http://d.hatena.ne.jp/ASnoKaze/20160525/1464108456
リンク元
- 11 https://www.google.co.jp/
- 10 https://t.co/2sdVIp37VU
- 5 https://t.co/g70PwBTYu1
- 3 https://www.google.co.jp
- 2 http://www.google.co.in/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CCwQFjAF&url=http://goo.gl/zkvZQI&ei=ZANFV_uCI5SclwPEPg&usg=AFQjCNGSL7uH-9ayuNgczyKuTGa6Me-TVA
- 2 http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0ahUKEwiLqsjsr_PMAhWF56YKHaYpC5YQFggjMAE&url=http://d.hatena.ne.jp/ASnoKaze/20151016/1445011720&usg=AFQjCNEDQhJOzGqr5kB8zK153-Fc8GsUeg&sig2=zHFhCzFbQBBq508v2mSM-w
- 1 http://b.hatena.ne.jp/
- 1 http://b.hatena.ne.jp/entrylist/it/技術ブログ
- 1 http://htn.to/3jPUxkw
- 1 http://htn.to/Gt99dq83