Mixed ContentのブロックされたURIをレポートさせる仕様追加

Mixed Content

Mixed Contentと言う仕様により、httpsで提供しているページの中でhttpで提供するリソース(script等)があるとそのリソースはブロックされます。


このMixed Contentには、Content Security Policyのblock-all-mixed-contentディレクティブも定義されています

Content-Security-Policy: block-all-mixed-content


このディレクティブは、scriptなどのBlockable Contentだけでなく、画像や動画といったOptionally-blockable Contentもブロックするようにするためのディレクティブです。


このblock-all-mixed-contentの仕様にレポート機能が追加された模様(間違い等あればご指摘下さい


violation reports

このcspのblock-all-mixed-contentディレクティブは今までレポート機能はありませんでしたが、先日レポート機能が追加されました。(commit)


もともとCSPにはレポート機能があり、違反した時に設定したreport-urijsonで違反情報が送信されます。block-all-mixed-contentでも、このCSPの仕様に則る形になりました。
つまり、リクエストされたURLがviolation’s resourceにセットされ、blocked-uriとしてレポートされるようになります。


Chromeでは、このレポート機能は既に開発中です(URL)。もちろん、実際にブロックは行なわずレポートだけする Content-Security-Policy-Report-Onlyもサポートされていそうです。