Report-To header
Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.
Nicht standardisiert: Diese Funktion ist nicht standardisiert. Wir raten davon ab, nicht-standardisierte Funktionen auf produktiven Webseiten zu verwenden, da sie nur von bestimmten Browsern unterstützt werden und sich in Zukunft ändern oder entfernt werden können. Unter Umständen kann sie jedoch eine geeignete Option sein, wenn es keine standardisierte Alternative gibt.
Warnung:
Dieser Header wurde durch den Reporting-Endpoints HTTP-Antwort-Header ersetzt.
Es ist ein veralteter Teil einer früheren Iteration der Reporting API-Spezifikation.
Der HTTP Report-To Antwort-Header ermöglicht es Website-Administratoren, benannte Gruppen von Endpunkten zu definieren, die als Ziel für Warnungs- und Fehlermeldungen dienen können, wie z.B. CSP-Verletzungsberichte, Cross-Origin-Opener-Policy Berichte, Veraltungsberichte oder andere allgemeine Verstöße.
Report-To wird häufig in Verbindung mit anderen Headers verwendet, die eine Gruppe von Endpunkten für eine bestimmte Art von Bericht auswählen.
Zum Beispiel kann die Content-Security-Policy Header-Direktive report-to verwendet werden, um die Gruppe auszuwählen, die für die Meldung von CSP-Verletzungen verwendet wird.
| Header-Typ | Antwort-Header |
|---|---|
| CORS-gelistete Antwort-Header | Nein |
Syntax
Report-To: <json-field-value>
<json-field-value>-
Eine oder mehrere Definitionen von Endpunktgruppen, definiert als JSON-Array, das die umgebenden
[und]Markierungen weglässt. Jedes Objekt im Array hat folgende Mitglieder:
Beispiele
Einstellen eines CSP-Verletzungsbericht-Endpunkts
Dieses Beispiel zeigt, wie ein Server Report-To verwenden könnte, um eine Gruppe von Endpunkten zu definieren, und dann die Gruppe als den Ort einzustellen, an den CSP-Verletzungsberichte gesendet werden.
Zunächst könnte ein Server eine Antwort mit dem Report-To HTTP-Antwort-Header senden, wie unten gezeigt.
Dies legt eine Gruppe von url Endpunkten fest, identifiziert durch den Gruppennamen csp-endpoints.
Report-To: { "group": "csp-endpoints",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/reports" },
{ "url": "https://backup.com/reports" }
] }
Der Server kann dann festlegen, dass diese Gruppe das Ziel für das Senden von CSP-Verletzungsberichten sein soll, indem er den Gruppennamen als Wert der report-to Direktive festlegt:
Content-Security-Policy: script-src https://example.com/; report-to csp-endpoints
Angesichts der obigen Header würden alle script-src CSP-Verletzungen dazu führen, dass Verletzungsberichte an beide in Report-To aufgeführten url-Werte gesendet werden.
Spezifikation mehrerer Berichtsgruppen
Das folgende Beispiel zeigt einen Report-To Header, der mehrere Endpunktgruppen spezifiziert.
Beachten Sie, dass jede Gruppe einen eindeutigen Namen hat und dass die Gruppen nicht durch die Array-Markierungen eingeschlossen sind.
Report-To: { "group": "csp-endpoint-1",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/csp-reports" }
] },
{ "group": "hpkp-endpoint",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/hpkp-reports" }
] }
Wir können eine Endpunktgruppe als Ziel für Verletzungsberichte nach Namen auswählen, genau wie im vorherigen Beispiel:
Content-Security-Policy: script-src https://example.com/; report-to csp-endpoint-1
Spezifikationen
Dieser Header ist nicht mehr Teil einer Spezifikation. Er war zuvor Teil der Reporting API.
Browser-Kompatibilität
Siehe auch
- Reporting API und
Reporting-EndpointsHeader report-toCSP-DirektiveContent-Security-Policy,Content-Security-Policy-Report-OnlyHeaders- Content Security Policy (CSP) Leitfaden