【发布时间】:2020-09-29 18:51:45
【问题描述】:
无法让 chrome/任何浏览器发送使用 Report-To 标头生成的报告
您好,我正在尝试收集由浏览器访问触发事件的网页生成的Deprecation/Crash/Intervention 报告。我有一个端点设置,当前在浏览器访问页面时接收 CSP 报告,但即使控制台中存在弃用错误,并且在日志查看器中生成了弃用报告,它也不是由 chrome 发送的(或野生动物园或火狐)。
Report-To 标头与 NEL 标头(也无法发送报告,但不是我关注的重点)一起发送,通过 securityheaders.com 扫描我的页面可以看出:
(这里测试的最大年龄很短,但我已经尝试了一整年)
日志
使用 chrome://net-export/ 并访问带有已弃用 JS 的页面,我可以看到在“Per origin config”部分中设置了正确的信息:
并且已弃用的 JS 正在生成弃用报告:
但由于某种原因,报告从未发送。有时在日志转储中会显示已多次尝试发送报告。
测试
我尝试使用带有命令行标志--enable-features=Reporting 和--enable-blink-features=Reporting 的chrome(尽管我认为这三种报告类型无论如何都已启用;Intervention、Deprecation 和Crash)。我还使用了 safari 和 firefox,并在控制台中收到了弃用警报,但发送的唯一报告是 CSP 报告。
【问题讨论】:
标签: http nginx http-headers content-security-policy