Report-To
Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.
Nicht standardisiert: Diese Funktion ist nicht standardisiert und befindet sich nicht auf dem Weg zur Standardisierung. Verwenden Sie sie nicht auf Produktionsseiten, die dem Web ausgesetzt sind: Sie funktioniert nicht für alle Benutzer. Es kann auch große Inkompatibilitäten zwischen Implementierungen geben, und das Verhalten kann sich in Zukunft ändern.
Warnung:
Dieser Header wurde durch den HTTP-Antwortheader Reporting-Endpoints
ersetzt.
Er ist ein veralteter Teil einer früheren Iteration der Reporting API-Spezifikation.
Der HTTP Report-To
Antwort-Header ermöglicht es Website-Administratoren, benannte Gruppen von Endpunkten zu definieren, die als Ziel für Warn- und Fehlermeldungen verwendet werden können, wie z.B. CSP-Verstöße, Cross-Origin-Opener-Policy
Berichte, Veraltungsberichte oder andere allgemeine Verstöße.
Report-To
wird häufig zusammen mit anderen Headern verwendet, die eine Gruppe von Endpunkten für eine bestimmte Art von Bericht auswählen.
Zum Beispiel kann die Richtlinie Content-Security-Policy
report-to
verwendet werden, um die Gruppe auszuwählen, die für die Meldung von CSP-Verstößen verwendet wird.
Header-Typ | Antwort-Header |
---|---|
Verbotener Headername | Nein |
CORS-safe gelisteter Antwort-Header | Nein |
Syntax
Report-To: <json-field-value>
<json-field-value>
-
Eine oder mehrere Definitionen von Endpunktgruppen, definiert als JSON-Array, das die umgebenden
[
und]
Markierungen weglässt. Jedes Objekt im Array hat die folgenden Mitglieder:
Beispiele
Einstellen eines CSP-Verstoßmeldungsendpunkts
Dieses Beispiel zeigt, wie ein Server Report-To
verwenden könnte, um eine Gruppe von Endpunkten zu definieren, und dann die Gruppe als Ort festlegt, an den CSP-Verstoßberichte gesendet werden.
Zuerst könnte ein Server eine Antwort mit dem Report-To
HTTP-Antwortheader senden, wie unten gezeigt.
Dies legt eine Gruppe von url
Endpunkten fest, die durch den Gruppennamen csp-endpoints
identifiziert werden.
Report-To: { "group": "csp-endpoints",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/reports" },
{ "url": "https://backup.com/reports" }
] }
Der Server kann dann angeben, dass er möchte, dass diese Gruppe das Ziel für das Senden von CSP-Verstoßberichten ist, indem er den Gruppennamen als Wert der report-to
Direktive festlegt:
Content-Security-Policy: script-src https://example.com/; report-to csp-endpoints
Bei den obigen Headern würden CSP-Verstöße script-src
-Verstöße dazu führen, dass Verstoßberichte an beide url
-Werte gesendet werden, die in Report-To
aufgelistet sind.
Spezifizierung mehrerer Berichterstattungsgruppen
Das untenstehende Beispiel zeigt einen Report-To
Header, der mehrere Endpunktgruppen angibt.
Beachten Sie, dass jede Gruppe einen eindeutigen Namen hat und dass die Gruppen nicht durch Array-Markierungen begrenzt sind.
Report-To: { "group": "csp-endpoint-1",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/csp-reports" }
] },
{ "group": "hpkp-endpoint",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/hpkp-reports" }
] }
Wir können eine Endpunktgruppe als Ziel für Verstöße durch Namen auswählen, auf die gleiche Weise, wie wir es im vorherigen Beispiel getan haben:
Content-Security-Policy: script-src https://example.com/; report-to csp-endpoint-1
Spezifikationen
Dieser Header ist nicht mehr Teil einer Spezifikation. Er war zuvor Teil der Reporting API.
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
- Reporting API und
Reporting-Endpoints
Header report-to
CSP RichtlinieContent-Security-Policy
,Content-Security-Policy-Report-Only
Header- Content Security Policy (CSP) Leitfaden