Featured image of post CSP Report-Only: Implementación segura de Content Security PolicyFeatured image of post CSP Report-Only: Implementación segura de Content Security Policy

CSP Report-Only: Implementación segura de Content Security Policy

Avoid live site regressions by routing script violations through CSP reports before enforcing lockouts.

Content-Security-Policy-Report-Only permite probar políticas de seguridad sin bloquear recursos. Ideal para implementación gradual.

Diferencia con CSP

CSP normal bloquea violaciones. CSP-Report-Only solo reporta. Usa ambas en paralelo: una activa y otra para nuevas reglas.

Reportes

Content-Security-Policy-Report-Only: script-src 'self'; report-uri /csp-endpoint

Los reportes JSON contienen: document-uri, violated-directive, blocked-uri, source-file.

Endpoints de reporte

Servidor propio que captura POST. report-to (nuevo) en lugar de report-uri (obsoleto). Servicios como Report URI, Sentry.

Flujo de adopción

  1. Report-Only vigilando. 2. Identificar violaciones legítimas. 3. Ajustar política. 4. Migrar a CSP real. 5. Repetir hasta sin reportes.
Última actualización 2026/07/12 04:12 JST