CSPViolationReport: referrer-Eigenschaft
Eingeschränkt verfügbar
Diese Funktion ist nicht Baseline, da sie in einigen der am weitesten verbreiteten Browser nicht funktioniert.
Die referrer-Eigenschaft des CSPViolationReport-Wörterbuchs ist ein Zeichenfolge, die die URL der verweisenden Seite der Ressource darstellt, deren Content Security Policy (CSP) verletzt wurde.
Der Referrer ist die Seite, die dazu geführt hat, dass die Seite mit der CSP-Verletzung geladen wurde. Wenn wir zum Beispiel einem Link zu einer Seite mit einer CSP-Verletzung gefolgt sind, ist der referrer die Seite, von der wir navigiert sind.
Wert
Eine Zeichenfolge, die die URL für den Referrer der Seite mit der CSP-Verletzung darstellt, oder null.
Beachten Sie, dass, wenn der Referrer eine HTTP(S)-URL ist, jeder Benutzername, jedes Passwort oder jedes Fragment entfernt wird.
Wenn das URL-Schema nicht http: oder https: ist, wird nur das Schema zurückgegeben.
Beispiele
CSP-Verletzung durch Inline-Skript mit Referrer
Dieses Beispiel löst eine CSP-Verletzung mithilfe eines Inline-Skripts aus und meldet die Verletzung unter Verwendung eines ReportingObserver.
Wir navigieren von einer anderen Seite zu der Seite und protokollieren den referrer, documentURL und blockedURL.
HTML
Zuerst definieren wir unsere Referrer-Seite /bounce/index.html.
Diese Seite enthält nur einen Link zu einer anderen Seite ../report_sample/index.html.
<!doctype html>
<html lang="en">
<head>
<meta charset="UTF-8" />
<meta name="viewport" content="width=device-width, initial-scale=1.0" />
</head>
<body>
<ul>
<li><a href="../report_sample/">report sample</a></li>
</ul>
</body>
</html>
Die ../report_sample/index.html HTML-Datei wird unten definiert.
Diese verwendet das <meta>-Element, um die Content-Security-Policy script-src-elem auf self zu setzen, was es erlaubt, Skripte von derselben Domain zu laden, aber nicht erlaubt, Inline-Skripte auszuführen.
Das Dokument enthält auch ein Inline-Skript, das eine CSP-Verletzung auslösen wird.
<!doctype html>
<!-- /report_sample/index.html -->
<html lang="en">
<head>
<meta
http-equiv="Content-Security-Policy"
content="script-src-elem 'self' 'report-sample'" />
<script src="main.js"></script>
</head>
<body>
<script>
const int = 4;
</script>
</body>
</html>
JavaScript (main.js)
Das obige Report-Sample lädt auch das externe Skript main.js, das unten gezeigt wird.
Da dieses vom selben Domain wie das HTML geladen wird, wird es nicht durch die CSP blockiert.
Das Skript erstellt einen neuen ReportingObserver, um Inhaltsverletzungsberichte vom Typ "csp-violation" zu beobachten.
Jedes Mal, wenn die Rückruffunktion aufgerufen wird, erhalten wir den Body des ersten Eintrags des Berichtsarrays und verwenden ihn, um die Verletzung documentURL, referrer und blockedURL in der Konsole zu protokollieren.
// main.js
const observer = new ReportingObserver(
(reports, observer) => {
console.log(`documentURL: ${reports[0].body.referrer}`);
console.log(`referrer: ${reports[0].body.referrer}`);
console.log(`blockedURL: ${reports[0].body.blockedURL}`);
},
{
types: ["csp-violation"],
buffered: true,
},
);
observer.observe();
Beachten Sie, dass, obwohl es möglicherweise mehrere Berichte im zurückgegebenen Array gibt, wir der Kürze halber nur die Werte des ersten Elements protokollieren.
Ergebnisse
Die Konsolenausgabe für den obigen Code würde ungefähr so aussehen (die Site hängt davon ab, wie die Seiten bereitgestellt werden):
documentURL: http://127.0.0.1:9999/report_sample/ referrer: http://127.0.0.1:9999/bounce/ blockedURL: inline
Beachten Sie, dass referrer die Seite ist, von der wir navigiert sind, documentURL die Seite mit der CSP-Verletzung ist und blockedURL in diesem Fall keine URL ist, sondern ein Hinweis darauf, dass die Verletzung durch ein unsicheres Inline-Skript verursacht wurde.
Spezifikationen
| Spezifikation |
|---|
| Content Security Policy Level 3 # reporting |