То, что я пытаюсь достичь: Оба обновления всех HTTP-запросов на странице HTTPS и отчета/регистрации событий.Заголовок политики безопасности контента - как обновления небезопасных запросов, так и отчетов о событиях
Сервер поддерживает как HTTP, так и HTTPS.
Тестовая HTML-страница. Обратите внимание на жёстко прописанный протокол HTTP в <img>
<html>
<head>
</head>
<body>
<img src="http://example.com/testimage.png" />
</body>
</html>
Согласно W3C documentation, я настроил свой .htaccess так:
Header set Content-Security-Policy "upgrade-insecure-requests; default-src https:"
Header set Content-Security-Policy-Report-Only "default-src https:; report-uri https://report-uri.io/report/..."
Когда я звоню https://example.com/testpage.html, он загружает файл через HTTPS, но не сообщите об этом событии.
Что мне не хватает?
какой браузер вы используете? возможно, браузер не поддерживает его? – oreoshake
Я не вижу отчета о нарушении в Chrome или Firefox (проверяя консоль dev) – oreoshake