Google chrome 强制内容安全策略和仅CSP报告之间的区别

我正在制定内容安全策略，以便添加到我的页面中。我对术语“强制CSP”和“仅CSP报告”感到困惑。这两者之间的区别是什么，它们是如何有用的。

顾客服务提供商对内容的来源和具体行动有许多限制。由于这可能会破坏许多功能，因此还有一种仅报告模式，可以将其视为测试模式。在“仅报告”中，您将收到关于违规的相同浏览器错误，这些错误只是不强制执行，并标记为“仅报告”。对于有效的仅报告CSP，必须定义报告uri以将报告发送到。在切换到强制模式之前，从实际用户收集一段时间的报告将发现您的策略存在问题。但由于代理重写、浏览器扩展、恶意软件等原因，您也可能会得到一些误报。Report only不提供任何保护，只有查看开发工具的用户才能看到违规行为。严格的强制CSP对于保护用户免受诸如XSS和clickjacking等多种web攻击至关重要。

我们还会收到强制模式的报告吗？我正在尝试看看我们是否可以为sameYes填充度量，定义report to或report uri，并发送报告。是和否。。。“仅报告”也会阻塞资源，尽管并非总是如此。至少这是现在Chrome/Vivaldi中使用外部http图片时的情况，在lagacy站点被包装成https后，大多数图片由于仅报告违反政策而无法加载。疯子这可能与soemthign有关，也可能与soemthign无关：我想知道是否强制的混合映像“升级”也开始了，-所讨论的映像存在于普通HTTP上，但在HTTPS上是404。当垄断将幸福强加给你时，这是多么美好啊，通常你可以猜到幸福的大便会从哪个方向倾泻到你身上，但有时你却不知道。。。。