From 074785cea106179cb3305637055ab0a009ca74f2 Mon Sep 17 00:00:00 2001 From: Peter Bengtsson Date: Tue, 8 Dec 2020 14:42:52 -0500 Subject: initial commit --- .../content-security-policy-report-only/index.html | 154 +++++++++++++++++++++ 1 file changed, 154 insertions(+) create mode 100644 files/pt-br/web/http/headers/content-security-policy-report-only/index.html (limited to 'files/pt-br/web/http/headers/content-security-policy-report-only/index.html') diff --git a/files/pt-br/web/http/headers/content-security-policy-report-only/index.html b/files/pt-br/web/http/headers/content-security-policy-report-only/index.html new file mode 100644 index 0000000000..41152b8d4e --- /dev/null +++ b/files/pt-br/web/http/headers/content-security-policy-report-only/index.html @@ -0,0 +1,154 @@ +--- +title: Content-Security-Policy-Report-Only +slug: Web/HTTP/Headers/Content-Security-Policy-Report-Only +tags: + - CSP + - HTTP + - HTTPS + - Referencia + - Segurança + - cabeçalho +translation_of: Web/HTTP/Headers/Content-Security-Policy-Report-Only +--- +
{{HTTPSidebar}}
+ +

O cabeçalho de resposta HTTP Content-Security-Policy-Report-Only permite aos desenvolvedores web experimentar políticas monitorando (mas não forçando) seus efeitos. Esses relatórios de violação consistem de documentos {{Glossary("JSON")}} enviados por uma requisição HTTP POST para a URI especificada.

+ +

Para mais informações, veja também este artigo em Content Security Policy (CSP).

+ + + + + + + + + + + + + + + +
Tipo de cabeçalho{{Glossary("Response header")}}
{{Glossary("Forbidden header name")}}não
Este cabeçalho não é suportado dentro de um elemento {{HTMLElement("meta")}}.
+ +

Sintaxe

+ +
Content-Security-Policy-Report-Only: <policy-directive>; <policy-directive>
+
+ +

Diretivas

+ +

As diretivas do cabeçalho {{HTTPHeader("Content-Security-Policy")}} também podem ser aplicadas para Content-Security-Policy-Report-Only.

+ +

A diretiva CSP {{CSP("report-uri")}} deve ser utilizada com este cabeçalho, caso contrário este cabeçalho será uma custosa operação sem ação para a máquina.

+ +

Exemplos

+ +

Este cabeçalho reporta violações que podem ter ocorrido. Você pode usar isso para trabalhar iterativamente na sua política de segurança de conteúdo. Você observa como seu site se comporta, observando para relatórios de violação ou redirecionamento de malware, então escolha a política forçada desejada pelo cabeçalho {{HTTPHeader("Content-Security-Policy")}}.

+ +
Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/
+ +

Se você ainda quer continuar recebendo relatórios, mas também quer reforçar a política, use o cabeçalho {{HTTPHeader("Content-Security-Policy")}} com a diretiva {{CSP("report-uri")}}.

+ +
Content-Security-Policy: default-src https:; report-uri /csp-violation-report-endpoint/
+ +

Sintaxe de relatório de violação

+ +

O objeto de relatório JSON contém os seguintes dados:

+ +
+
blocked-uri
+
A URI do recurso que estava bloqueada de carregar pela Política de Segurança de Conteúdo. Se a URI bloqueada é de uma origem diferente da URI do documento, então a URI bloqueada é truncada para conter somente o esquema, host, e a porta.
+
disposition
+
Ou "enforce" ou "report" dependendo se o cabeçalho {{HTTPHeader("Content-Security-Policy")}} ou o Content-Security-Policy-Report-Only é utilizado.
+
document-uri
+
A URI do documento na qual a violação ocorreu.
+
effective-directive
+
A diretiva na qual a execução causou a violação.
+
original-policy
+
A política original como especificada pelo cabeçalho HTTP Content-Security-Policy-Report-Only.
+
referrer
+
A referência do documento onde a violação ocorreu.
+
script-sample
+
Os primeiros 40 caracteres do script em linha, manejador de evento, ou estilo que causou a violação.
+
status-code
+
O código de status HTTP do recurso no qual o objeto global foi instanciado.
+
violated-directive
+
O nome da seção da política que foi violada.
+
+ +

Exemplo de relatório de violação

+ +
Vamos considerar a página localizada em http://example.com/signup.html. Ele usa a seguinte política, desabilitando tudo menos arquivos de estilo de cdn.example.com.
+ +
+
Content-Security-Policy-Report-Only: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports
+
+ +
O HTML de signup.html se parece com isto:
+ +
<!DOCTYPE html>
+<html>
+  <head>
+    <title>Sign Up</title>
+    <link rel="stylesheet" href="css/style.css">
+  </head>
+  <body>
+    ... Conteúdo ...
+  </body>
+</html>
+ +
Você consegue observar a violação? Arquivos de estilos são permitidos serem carregados somente de cdn.example.com, entretanto o site tenta carregar um de sua origem (http://example.com). O navegador capaz de executar CSP irá mandar o seguinte relatório de violação como requisição POST para http://example.com/_/csp-reports, quando o documento é visitado:
+ +
{
+  "csp-report": {
+    "document-uri": "http://example.com/signup.html",
+    "referrer": "",
+    "blocked-uri": "http://example.com/css/style.css",
+    "violated-directive": "style-src cdn.example.com",
+    "original-policy": "default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports",
+    "disposition": "report"
+  }
+}
+ +

Como você pode ver, o relatório inclui o caminho completo para o recurso violado em blocked-uri. Isso não é sempre o caso. Por exemplo, quando o signup.html irá tentar carregar o CSS de http://anothercdn.example.com/stylesheet.css, o navegador não irá incluir o caminho completo, somente a origem será inclusa (http://anothercdn.example.com). Isso é feito para prevenir o vazamento de informações sensíveis sobre recursos entre origens.

+ +

Especificações

+ + + + + + + + + + + + + + + + + + + + + +
EspecificaçãoStatusComentário
{{specName("CSP 3.0")}}{{Spec2('CSP 3.0')}}Sem alterações.
{{specName("CSP 1.1")}}{{Spec2('CSP 1.1')}}Definição inicial.
+ +

Compatibilidade de navegador

+ + + +

{{Compat("http.headers.Content-Security-Policy-Report-Only")}}

+ +

Veja também

+ + -- cgit v1.2.3-54-g00ecf