.htaccess 内容安全策略标头-升级不安全请求和报告事件_.htaccess_Content Security Policy_Response Headers

.htaccess 内容安全策略标头-升级不安全请求和报告事件

.htaccess

.htaccess 内容安全策略标头-升级不安全请求和报告事件,.htaccess,content-security-policy,response-headers,.htaccess,Content Security Policy,Response Headers,我试图实现的目标：将页面中的所有HTTP请求升级为HTTPS并报告/记录事件。服务器同时支持HTTP和HTTPS 测试HTML页面。请注意当我调用时，它通过HTTPS加载图像，但不报告事件我遗漏了什么？我不确定是否升级不安全的请求或阻止所有混合内容将生成事件，因为它们首先阻止坏事件的发生我的推理可能是错误的，但我知道阻止所有混合内容不会产生冲突对于阻止所有混合内容，它将明确不发送报告。发件人：本指令在受到监控时无效。这个指令只是效果是在受保护的资源上设置策略标志；会的因此，不得违

我试图实现的目标：将页面中的所有HTTP请求升级为HTTPS并报告/记录事件。

服务器同时支持HTTP和HTTPS

测试HTML页面。请注意

当我调用时，它通过HTTPS加载图像，但不报告事件

我遗漏了什么？

我不确定是否

升级不安全的请求

或

阻止所有混合内容

将生成事件，因为它们首先阻止坏事件的发生

我的推理可能是错误的，但我知道

阻止所有混合内容

不会产生冲突

对于阻止所有混合内容，它将明确不发送报告。发件人：

本指令在受到监控时无效。这个指令只是效果是在受保护的资源上设置策略标志；会的因此，不得违反，且无报告要求

你用的是什么浏览器？也许浏览器不支持它？我在Chrome或Firefox中没有看到违规报告（通过检查开发控制台）

<html>
<head>
</head>
<body>
    <img src="http://example.com/testimage.png" />
</body>
</html>

Header set Content-Security-Policy "upgrade-insecure-requests; default-src https:"
Header set Content-Security-Policy-Report-Only "default-src https:; report-uri https://report-uri.io/report/..."