Report-To

Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.

Nicht standardisiert: Diese Funktion ist nicht standardisiert und befindet sich nicht auf dem Weg zur Standardisierung. Verwenden Sie sie nicht auf Produktionsseiten, die dem Web ausgesetzt sind: Sie funktioniert nicht für alle Benutzer. Es kann auch große Inkompatibilitäten zwischen Implementierungen geben, und das Verhalten kann sich in Zukunft ändern.

Warnung: Dieser Header wurde durch den HTTP-Antwortheader Reporting-Endpoints ersetzt. Er ist ein veralteter Teil einer früheren Iteration der Reporting API-Spezifikation.

Der HTTP Report-To Antwort-Header ermöglicht es Website-Administratoren, benannte Gruppen von Endpunkten zu definieren, die als Ziel für Warn- und Fehlermeldungen verwendet werden können, wie z.B. CSP-Verstöße, Cross-Origin-Opener-Policy Berichte, Veraltungsberichte oder andere allgemeine Verstöße.

Report-To wird häufig zusammen mit anderen Headern verwendet, die eine Gruppe von Endpunkten für eine bestimmte Art von Bericht auswählen. Zum Beispiel kann die Richtlinie Content-Security-Policy report-to verwendet werden, um die Gruppe auszuwählen, die für die Meldung von CSP-Verstößen verwendet wird.

Header-Typ Antwort-Header
Verbotener Headername Nein
CORS-safe gelisteter Antwort-Header Nein

Syntax

http
Report-To: <json-field-value>
<json-field-value>

Eine oder mehrere Definitionen von Endpunktgruppen, definiert als JSON-Array, das die umgebenden [ und ] Markierungen weglässt. Jedes Objekt im Array hat die folgenden Mitglieder:

group

Ein Name für die Gruppe von Endpunkten.

max_age

Die Zeit in Sekunden, die der Browser die Berichterstattungskonfiguration im Cache behalten soll.

endpoints

Ein Array von einer oder mehreren URLs, an die die Berichte in der Gruppe gesendet werden sollen.

Beispiele

Einstellen eines CSP-Verstoßmeldungsendpunkts

Dieses Beispiel zeigt, wie ein Server Report-To verwenden könnte, um eine Gruppe von Endpunkten zu definieren, und dann die Gruppe als Ort festlegt, an den CSP-Verstoßberichte gesendet werden.

Zuerst könnte ein Server eine Antwort mit dem Report-To HTTP-Antwortheader senden, wie unten gezeigt. Dies legt eine Gruppe von url Endpunkten fest, die durch den Gruppennamen csp-endpoints identifiziert werden.

http
Report-To: { "group": "csp-endpoints",
              "max_age": 10886400,
              "endpoints": [
                { "url": "https://example.com/reports" },
                { "url": "https://backup.com/reports" }
              ] }

Der Server kann dann angeben, dass er möchte, dass diese Gruppe das Ziel für das Senden von CSP-Verstoßberichten ist, indem er den Gruppennamen als Wert der report-to Direktive festlegt:

http
Content-Security-Policy: script-src https://example.com/; report-to csp-endpoints

Bei den obigen Headern würden CSP-Verstöße script-src-Verstöße dazu führen, dass Verstoßberichte an beide url-Werte gesendet werden, die in Report-To aufgelistet sind.

Spezifizierung mehrerer Berichterstattungsgruppen

Das untenstehende Beispiel zeigt einen Report-To Header, der mehrere Endpunktgruppen angibt. Beachten Sie, dass jede Gruppe einen eindeutigen Namen hat und dass die Gruppen nicht durch Array-Markierungen begrenzt sind.

http
Report-To: { "group": "csp-endpoint-1",
              "max_age": 10886400,
              "endpoints": [
                { "url": "https://example.com/csp-reports" }
              ] },
            { "group": "hpkp-endpoint",
              "max_age": 10886400,
              "endpoints": [
                { "url": "https://example.com/hpkp-reports" }
              ] }

Wir können eine Endpunktgruppe als Ziel für Verstöße durch Namen auswählen, auf die gleiche Weise, wie wir es im vorherigen Beispiel getan haben:

http
Content-Security-Policy: script-src https://example.com/; report-to csp-endpoint-1

Spezifikationen

Dieser Header ist nicht mehr Teil einer Spezifikation. Er war zuvor Teil der Reporting API.

Browser-Kompatibilität

BCD tables only load in the browser

Siehe auch