Получите отчет об инциденте по нарушению привязки ⇐ Javascript

[Anonymous]

Я пробую кое -что в отношении отчетного API. Я установил простую HTML-страницу, которая регистрирует отчеты отчетности как SO:

Код: Выделить всё

const reportObserver = new ReportingObserver((reports) => alert(JSON.stringify(reports)),
{ buffered: true });
reportObserver.observe();
< /code>
Эта страница также содержит тег изображения, как это: < /p>

[img]https://other.mydomain/image.png[/img]

Эта страница запрашивается браузером как https: //main.mydomain/test.html . Заголовки CSP этой страницы установлены так, чтобы запрос на изображение не блокировано. Для этого заголовок HTML-страницы HTML содержит IMG-SRC-Policy https: //other.mydomain/ .
Теперь я блокирую загрузку изображения следующими заголовками, возвращенными изображением:

Код: Выделить всё

Access-Control-Allow-Origin: https://other.mydomain/
Cross-Origin-Resource-Policy: same-origin
< /code>
Браузер сообщает, что изображение не может быть загружено, поскольку происхождение не совпадает, что является правильным. Тем не менее, на веб -странице на веб -странице ничего не сообщается. Для этого ответ для изображения также содержит следующие заголовки: < /p>
Report-To: {"group":"default","max_age":10886400,"endpoints":[{"url":"https://main.mydomain/reports"}]}
Reporting-Endpoints: default=https://main.mydomain/reports

Но ничто не публикуется в этой конечной точке относительно этого нарушения.
Я тестирую это с помощью Google Chrome, запуская его из командной строки с параметром командной строки-short-report-delay , чтобы убедиться, что отчеты отправляются быстро после инцидента. На тестовой веб -странице я также генерирую другие нарушения, и они отправляются в конечную точку отчетности, а также попадают в отчеты . Если это возможно, чего мне не хватает?

Подробнее здесь: https://stackoverflow.com/questions/797 ... -violation