以前このブログでも書いたNetwork Error Loggingなど、Webサイトを表示する際に発生した問題のレポートを指定されたエンドポイントに送信する機能が増えてきている。
asnokaze.hatenablog.com
このレポート送信に関する仕様はReporting APIで定義されている。
一方で、Fetchの仕様としてCORSを送信する必要のないContent-Typeは下記の通りになっている 。見ての通り、レポート送信時に使用される content-type である
- `application/csp-report` [CSP]
- `application/report` [REPORTING]
- `application/expect-ct-report+json` [EXPECT-CT]
- `application/xss-auditor-report`
- `application/ocsp-request` [OCSP]
この除外リストが出来るまでの議論はいぜん書いたとおり
asnokaze.hatenablog.com
Remove Reporting API from CORS exceptions
上記の除外リストから、application/reportを取り除くようである
github.com
そのため、Reporting API を使用している場合は、CORS対応を対応する必要が出てくる。Network Error Logging は対応必須である。一方で、report-uriディレクティブで個別にレポート先エンドポイントを指定してるCSPやExpect-CTは対応する必要はない。
実装
「Reporting: Send CORS preflight before uploading reports」で、Chromeはすでに実装が入っている。
Chrome Dev(69)で実際にnelヘッダを試すとOPTIONSが飛んでくることが確認できた
2018/07/27 01:18:24 [debug] 4815#0: *86 http2 http request line: "OPTIONS /report HTTP/2.0"
