Content-Security-Policy: report-uri-Direktive
Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.
Warnung:
Die report-to-Direktive soll report-uri ersetzen, und in Browsern, die report-to unterstützen, wird die report-uri-Direktive ignoriert.
Solange report-to jedoch noch nicht umfassend unterstützt wird, können Sie beide Header angeben, wie folgt:
Content-Security-Policy: …; report-uri https://endpoint.example.com; report-to endpoint_name
Die veraltete HTTP-Content-Security-Policy (CSP) report-uri-Direktive weist den User-Agent an, Versuche zu melden, die Content-Security-Policy zu verletzen. Diese Verletzungsberichte bestehen aus JSON-Dokumenten, die über eine HTTP-POST-Anfrage an die angegebene URI gesendet werden.
Die Direktive hat für sich genommen keine Wirkung, sondern erhält erst in Kombination mit anderen Direktiven Bedeutung.
| CSP-Version | 1 |
|---|---|
| Direktiventyp | Reporting-Direktive |
Diese Direktive wird im <meta>-Element nicht unterstützt.
|
|
Syntax
Content-Security-Policy: report-uri <uri>;
Content-Security-Policy: report-uri <uri> <uri>;
- <uri>
-
Eine URI, die angibt, wohin der Bericht gesendet werden muss.
Syntax des Verletzungsberichts
Das JSON-Objekt des Berichts wird über eine HTTP-POST-Operation mit einem Content-Type von application/csp-report gesendet.
Hinweis: Verletzungsberichte sollten als angreifergesteuerte Daten betrachtet werden. Der Inhalt sollte ordnungsgemäß bereinigt werden, bevor er gespeichert oder gerendert wird. Dies gilt insbesondere für die script-sample-Eigenschaft, falls vorhanden.
Das JSON-Objekt des Berichts hat eine einzige Top-Level-Eigenschaft, "csp-report", die ein Objekt mit den folgenden Eigenschaften enthält:
blocked-uri-
Die URI der Ressource, die durch die Content-Security-Policy am Laden gehindert wurde. Wenn die blockierte URI von einem anderen Ursprung als die
document-uristammt, wird die blockierte URI auf das Schema, den Host und den Port gekürzt. disposition-
Entweder
"enforce"oder"report", abhängig davon, ob derContent-Security-Policy-Report-Only-Header oder derContent-Security-Policy-Header verwendet wird. document-uri-
Die URI des Dokuments, bei dem die Verletzung aufgetreten ist.
effective-directive-
Die Direktive, deren Durchsetzung die Verletzung verursacht hat. Einige Browser können unterschiedliche Werte bereitstellen, wie z.B. Chrome, das
style-src-elem/style-src-attrangibt, selbst wenn die durchgesetzte Direktivestyle-srcwar. original-policy-
Die ursprüngliche Richtlinie, wie durch den HTTP-Header
Content-Security-Policyangegeben. referrerVeraltet Nicht standardisiert-
Der Referrer des Dokuments, in dem die Verletzung aufgetreten ist.
script-sample-
Die ersten 40 Zeichen des eingebetteten Skripts, Ereignishandlers oder Stils, das bzw. der die Verletzung verursacht hat. Verletzungen, die von externen Dateien stammen, sind im Bericht nicht enthalten.
Dies gilt nur für Verletzungen von
script-src*undstyle-src*, wenn die entsprechendeContent-Security-Policy-Direktive das Schlüsselwort'report-sample'enthält. status-code-
Der HTTP-Statuscode der Ressource, auf der das globale Objekt instanziiert wurde.
violated-directiveVeraltet-
Die Direktive, deren Durchsetzung die Verletzung verursachte. Die
violated-directiveist ein historischer Name für das Feldeffective-directiveund enthält denselben Wert.
Beispiele
CSP-Verletzungsbericht mit Content-Security-Policy
Betrachten wir eine Seite unter http://example.com/signup.html.
Sie verwendet die folgende Richtlinie, die alles außer Stylesheets, die von cdn.example.com geladen werden, verbietet.
Content-Security-Policy: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports
Der HTML-Code von signup.html sieht folgendermaßen aus:
<!doctype html>
<html lang="en-US">
<head>
<meta charset="UTF-8" />
<title>Sign Up</title>
<link rel="stylesheet" href="css/style.css" />
</head>
<body>
Here be content.
</body>
</html>
Können Sie den Fehler erkennen? Stylesheets dürfen nur von cdn.example.com geladen werden, dennoch versucht die Website, eines von ihrem eigenen Ursprung (http://example.com) zu laden.
Ein Browser, der CSP durchsetzen kann, würde den folgenden Verletzungsbericht als POST-Anfrage an http://example.com/_/csp-reports senden, wenn das Dokument besucht wird:
{
"csp-report": {
"blocked-uri": "http://example.com/css/style.css",
"disposition": "report",
"document-uri": "http://example.com/signup.html",
"effective-directive": "style-src-elem",
"original-policy": "default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports",
"referrer": "",
"status-code": 200,
"violated-directive": "style-src-elem"
}
}
Wie Sie sehen können, enthält der Bericht den vollständigen Pfad zur verletzenden Ressource in blocked-uri.
Dies ist nicht immer der Fall.
Wenn signup.html beispielsweise versucht hätte, CSS von http://anothercdn.example.com/stylesheet.css zu laden, würde der Browser nicht den vollständigen Pfad, sondern nur den Ursprung
(http://anothercdn.example.com) enthalten, um zu verhindern, dass vertrauliche Informationen zu ressortübergreifenden Ressourcen preisgegeben werden.
Die CSP-Spezifikation gibt eine Erklärung für dieses Verhalten.
CSP-Verletzungsbericht mit Content-Security-Policy-Report-Only
Die report-uri-Direktive kann auch mit dem Content-Security-Policy-Report-Only-Antwortheader verwendet werden.
Dieser Header erlaubt es dem Browser, Verstöße zu melden, aber nicht zu blockieren, wenn getestet wird.
Der HTTP-Header wäre weitgehend derselbe.
Content-Security-Policy-Report-Only: default-src 'none'; style-src cdn.example.com; report-to /_/csp-reports
Der Bericht wäre derselbe, außer für die Disposition "report" und natürlich die "original-policy":
{
"csp-report": {
"blocked-uri": "http://example.com/css/style.css",
"disposition": "report",
"document-uri": "http://example.com/signup.html",
"effective-directive": "style-src-elem",
"original-policy": "default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports",
"referrer": "",
"status-code": 200,
"violated-directive": "style-src-elem"
}
}
Aufzeichnung von CSP-Verletzungen
Angenommen, ein Server sendet Antworten mit dem folgenden Content-Security-Policy-Header:
Content-Security-Policy: default-src https:; report-uri /csp-violation-report-endpoint/
/csp-violation-report-endpoint/ könnte beispielsweise ein PHP-Skript wie das folgende ausführen, das die JSON-Daten zur Verletzung protokolliert und, wenn die Verletzung die erste ist, die der Protokolldatei hinzugefügt wird, eine E-Mail an einen Administrator sendet:
<?php
// Start configure
$log_file = dirname(__FILE__) . "/csp-violations.log";
$log_file_size_limit = 1000000; // bytes - once exceeded no further entries are added
$email_address = "admin@example.com";
$email_subject = "Content-Security-Policy violation";
// End configuration
$current_domain = preg_replace("/www\./i", "", $_SERVER["SERVER_NAME"]);
$email_subject = $email_subject . " on " . $current_domain;
http_response_code(204); // HTTP 204 No Content
$json_data = file_get_contents("php://input");
// We pretty print the JSON before adding it to the log file
if (($json_data = json_decode($json_data))) {
$json_data = json_encode(
$json_data,
JSON_PRETTY_PRINT | JSON_UNESCAPED_SLASHES,
);
if (!file_exists($log_file)) {
// Send an email
$message =
"The following Content-Security-Policy violation occurred on " .
$current_domain . ":\n\n" .
$json_data .
"\n\nFurther CPS violations will be logged to the following log file, but no further email notifications will be sent until this log file is deleted:\n\n" .
$log_file;
mail(
$email_address,
$email_subject,
$message,
"Content-Type: text/plain;charset=utf-8",
);
} else if (filesize($log_file) > $log_file_size_limit) {
exit(0);
}
file_put_contents($log_file, $json_data, FILE_APPEND | LOCK_EX);
}
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-report-uri |