HPKP、CSP 「report-uri.io」を利用したテスト方法の紹介

CSPのContent-Security-Policy-Report-OnlyとHPKPのPublic-Key-Pins-Report-Onlyはそれぞれのテストモードです。
「report-uri」を指定することで、指定されたHTTP Header作動状態を詳細に知ることができ、ステップバイステップでの設定が可能になります。
report-uriに自身が管理するサーバーを指定することももちろん可能ですが、セキュリティ研究者のScott Helme氏の開設したreport-uri.ioを使うとすぐにテストを開始できます。
以下では、report-uri.ioを利用したテスト事例を紹介します。

report-uri.io 利用設定

Account作成

report-uri.io の利用にはAccount作成が必要ですが、メールアドレスを登録するだけでとても簡単に作成できます。

1. https://report-uri.io/にアクセスし、右上端の「Login」ボタンをクリックします。

   

   
   

2. 左メニューで「Register」をクリックするとAccount作成画面が表示されますので、メールアドレスとパスワードを入力し、「Create account」ボタンをクリックします。

   

   
   

report-uri.io 基本情報設定

report-uri.ioを利用するための基本情報を設定します。

1. https://report-uri.io/にアクセスし、右上端の「Login」ボタンをクリックしログイします。トップメニューが表示されます。
   有料プランが表示されることがあります。その場合は有料プランを選択するか「Continue Without Paying」を選択してください。

   

   
   

2. 左メニューの「Filters」をクリックします。
   「Sites to collect reports for」欄に調査対象ホスト名を入力し、「Save」ボタンをクリックします。ここで各種の設定が可能ですが、最初はデフォルトでかまいません。

   

3. 左メニューの「Setup」をクリックします。
   Content-Security-Policy-Report-Only、HPKPのPublic-Key-Pins-Report-Only等、テストしたい「policy」の下の「Select」欄のURLをコピーし、テスト設定の「report-uri=」で利用します。
   右欄の「Custom subdomain」で独自のアドレスを設定することもできます。