Content-Security-Policy-Report-Only permite probar políticas de seguridad sin bloquear recursos. Ideal para implementación gradual.
Diferencia con CSP
CSP normal bloquea violaciones. CSP-Report-Only solo reporta. Usa ambas en paralelo: una activa y otra para nuevas reglas.
Reportes
Content-Security-Policy-Report-Only: script-src 'self'; report-uri /csp-endpoint
Los reportes JSON contienen: document-uri, violated-directive, blocked-uri, source-file.
Endpoints de reporte
Servidor propio que captura POST. report-to (nuevo) en lugar de report-uri (obsoleto). Servicios como Report URI, Sentry.
Flujo de adopción
- Report-Only vigilando. 2. Identificar violaciones legítimas. 3. Ajustar política. 4. Migrar a CSP real. 5. Repetir hasta sin reportes.

