我使用了secure_headers gem https://github.com/twitter/secureheaders并将csp配置为
config.csp = {
:enforce => true,
:default_src => 'http://* inline',
:report_uri => "/report",
:connect_src => 'self',
:style_src => 'self inline',
:script_src => 'self inline eval',
:font_src => 'self'
}
但我仍然无法查看我的报告http://localhost:3000/report并且页面没有重定向
编辑:
https://report-uri.io/提供 CSP 报告功能。他们给你一个报告uri,他们管理传入的报告!
目前 gem 没有任何内置支持聚合/查看报告。这个问题让我思考,所以我提交了https://github.com/twitter/secureheaders/issues/71
请添加您的想法。我不认为构建有意义的东西是一项微不足道的任务,但我开始看到它的价值。还有大量的低挂水果可能暂时就足够了。
Secure Headers Gem 不提供 CSP 违规的报告端点。您必须自己构建或使用开箱即用的解决方案。
我发布了使用 Ruby on Rails 部署内容安全策略的不同方法的概述,包括 SecureHeaders Gem 和 Templarbit(包括报告端点):https ://www.templarbit.com/blog/2018/03/14/内容安全策略与 ruby-on-rails