CSPViolationReportBody: disposition 屬性
CSPViolationReportBody 介面的只讀屬性 disposition 指示使用者代理是配置為強制執行 內容安全策略 (CSP) 違規,還是僅報告這些違規。
值
可能的值是
示例
CSP 內聯指令碼違規,顯示 disposition
此示例使用內聯指令碼觸發 CSP 違規,並使用 ReportingObserver 報告該違規。disposition 會被記錄。
HTML
下面的 HTML 檔案使用 <meta> 元素將 Content-Security-Policy 的 default-src 設定為 self,這允許從同一域載入指令碼和其他資源,但不允許執行內聯指令碼。該文件還包含一個內聯指令碼,因此應該會觸發 CSP 違規。
html
<!doctype html>
<html lang="en">
<head>
<meta
http-equiv="Content-Security-Policy"
content="default-src 'self'; report-to csp-endpoint" />
<meta
http-equiv="Reporting-Endpoints"
content="csp-endpoint='https://example.com/csp-reports'" />
<script src="main.js"></script>
<title>CSP: Violation due to inline script</title>
</head>
<body>
<h1>CSP: Violation due to inline script</h1>
<script>
const int = 4;
</script>
</body>
</html>
JavaScript (main.js)
上面的文件還載入了外部指令碼 main.js,如下所示。由於它是從與 HTML 相同的域載入的,因此不會被 CSP 阻止。
該指令碼建立一個新的 ReportingObserver 來觀察型別為 "csp-violation" 的內容違規報告。每次呼叫回撥函式時,我們都會獲取報告陣列的第一個條目的主體,並使用它將違規的檔案、行和列記錄到控制檯。
js
// main.js
const observer = new ReportingObserver(
(reports, observer) => {
const cspViolationBody = reports[0].body;
console.log(`disposition: ${cspViolationBody.disposition}`);
// For example: "enforce"
},
{
types: ["csp-violation"],
buffered: true,
},
);
observer.observe();
請注意,雖然返回的陣列中可能有多份報告,但為了簡潔起見,我們只記錄第一個元素的這些值。
結果
如果提供上述程式碼,日誌輸出將是
disposition: enforce
注意:如果啟用了 Content-Security-Policy-Reporting-Only,則 disposition 將是 report。但請注意,Content-Security-Policy-Reporting-Only 必須透過伺服器傳送:如我們上面所做的那樣,它不能在 <meta> 元素中設定。
規範
| 規範 |
|---|
| 內容安全策略級別 3 # dom-cspviolationreportbody-disposition |
瀏覽器相容性
載入中…