Content-Security-Policy-Report-Only header
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Der HTTP Content-Security-Policy-Report-Only Antwort-Header hilft dabei, Verstöße gegen die Content Security Policy (CSP) und deren Auswirkungen zu überwachen, ohne die Sicherheitsrichtlinien durchzusetzen.
Dieser Header ermöglicht es Ihnen, Verstöße zu testen oder zu beheben, bevor eine spezifische Content-Security-Policy angewendet und durchgesetzt wird.
Die CSP-Direktive report-to muss spezifiziert werden, damit Berichte gesendet werden: Andernfalls hat die Operation keine Wirkung.
Verstoßberichte werden mit der Reporting-API an Endpunkte gesendet, die in einem Reporting-Endpoints HTTP-Antwort-Header definiert und mit der CSP-Direktive report-to ausgewählt werden.
Für weitere Informationen lesen Sie unseren Content Security Policy (CSP)-Leitfaden.
Hinweis:
Der Header kann auch mit der veralteten report-uri-Direktive verwendet werden (diese wird durch report-to ersetzt).
Die Nutzung und das resultierende Berichtssyntax sind leicht unterschiedlich; sehen Sie sich das Thema report-uri für weitere Details an.
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Anforderungs-Header | Nein |
Dieser Header wird in einem <meta>-Element nicht unterstützt.
|
|
Syntax
Content-Security-Policy-Report-Only: <policy-directive>; …; <policy-directive>; report-to <endpoint-name>
Direktiven
Der Content-Security-Policy-Report-Only-Header unterstützt alle Content-Security-Policy-Direktiven außer sandbox, die ignoriert wird.
Hinweis:
Die CSP report-to-Direktive sollte mit diesem Header verwendet werden, andernfalls hat sie keine Wirkung.
Beispiele
Verwendung von Content-Security-Policy-Report-Only zum Senden von CSP-Berichten
Um die report-to-Direktive zu verwenden, müssen Sie zunächst einen entsprechenden Endpunkt mit dem Reporting-Endpoints-Antwort-Header definieren.
Im folgenden Beispiel definieren wir einen einzelnen Endpunkt namens csp-endpoint.
Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports"
Wir können dann das Ziel des Berichts mit report-to und report-uri definieren, wie unten gezeigt.
Beachten Sie, dass dieser spezielle Bericht ausgelöst würde, wenn die Seite unsicher geladene Ressourcen oder Inline-Code enthalten würde.
Content-Security-Policy-Report-Only: default-src https:;
report-uri /csp-report-url/;
report-to csp-endpoint;
Hinweis:
Die report-to-Direktive wird der veralteten report-uri-Direktive vorgezogen, aber wir deklarieren beide, da report-to noch nicht vollständig browserübergreifend unterstützt wird.
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # cspro-header |
Browser-Kompatibilität
Siehe auch
Content-Security-Policy- CSP
report-to-Direktive - CSP
report-uri-Direktive Veraltet