まだ、WIPではあるもののCSPの仕様に "report-sample" と言う機能が追加されました(URL)。
これは、違反したインラインのScriptやStyleの最初の40文字がレポートに追加されます。外部ファイルの場合はレポートされません。昨年から議論がされていましたが、もともとはFirefoxに以前実装されていたscript-sampleプロパティと同等の機能ですが、Styleも対象になります。
これにより、今までレポートは送られてくるもの攻撃なのかそうじゃないのか分からなかったというケースが、多少なりとも少なくなるのではないだろうか。
report-sample
普通のCSPと同様に、HTTPヘッダもしくはmetaタグで report-sampleを指定します。
Content-Security-Policy: script-src 'nonce-abc' 'report-sample'
<meta http-equiv="Content-Security-Policy" content="style-src 'nonce-abc' 'report-sample'">
sample
下記のようなタグが含まれていた場合
<script>alert(1);</script>
このようにレポートにsampleが追加されます
{
...
"sample": "alert(1);"
}
