Report-To header
Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.
Nicht standardisiert: Diese Funktion ist nicht standardisiert. Wir raten davon ab, nicht-standardisierte Funktionen auf produktiven Webseiten zu verwenden, da sie nur von bestimmten Browsern unterstützt werden und sich in Zukunft ändern oder entfernt werden können. Unter Umständen kann sie jedoch eine geeignete Option sein, wenn es keine standardisierte Alternative gibt.
Warnung:
Dieser Header wurde durch den Reporting-Endpoints HTTP-Antwort-Header ersetzt.
Er ist ein veralteter Teil einer früheren Iteration der Reporting API-Spezifikation.
Der HTTP Report-To Antwort-Header ermöglicht es Website-Administratoren, benannte Gruppen von Endpunkten zu definieren, die als Ziel für Warn- und Fehlerberichte verwendet werden können, wie zum Beispiel CSP-Verletzungsberichte, Cross-Origin-Opener-Policy-Berichte, Veraltungsberichte oder andere allgemeine Verstöße.
Report-To wird häufig in Verbindung mit anderen Headern verwendet, die eine Gruppe von Endpunkten für eine bestimmte Art von Bericht auswählen.
Zum Beispiel kann die Content-Security-Policy-Header-Direktive report-to verwendet werden, um die Gruppe auszuwählen, die für die Meldung von CSP-Verletzungen genutzt wird.
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Anfrage-Header | Nein |
| CORS-gelisteter Antwort-Header | Nein |
Syntax
Report-To: <json-field-value>
<json-field-value>-
Eine oder mehrere Endpunktgruppen-Definitionen, definiert als ein JSON-Array, das die umgebenden
[und]-Marker auslässt. Jedes Objekt im Array hat die folgenden Mitglieder:
Beispiele
Festlegen eines Endpunkts für CSP-Verletzungsberichte
Dieses Beispiel zeigt, wie ein Server Report-To verwenden könnte, um eine Gruppe von Endpunkten zu definieren, und dann die Gruppe als Ort festzulegen, an dem CSP-Verletzungsberichte gesendet werden.
Zunächst könnte ein Server eine Antwort mit dem Report-To HTTP-Antwort-Header senden, wie unten gezeigt.
Dies spezifiziert eine Gruppe von url-Endpunkten, die durch den Gruppennamen csp-endpoints identifiziert werden.
Report-To: { "group": "csp-endpoints",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/reports" },
{ "url": "https://backup.com/reports" }
] }
Der Server kann dann angeben, dass er möchte, dass diese Gruppe das Ziel für das Senden von CSP-Verletzungsberichten ist, indem er den Gruppennamen als Wert der report-to-Direktive festlegt:
Content-Security-Policy: script-src https://example.com/; report-to csp-endpoints
Unter Berücksichtigung der obigen Header würden alle script-src CSP-Verletzungen dazu führen, dass Verletzungsberichte an beide in Report-To aufgeführten url-Werte gesendet werden.
Spezifizieren mehrerer Berichtgruppen
Das folgende Beispiel demonstriert einen Report-To-Header, der mehrere Endpunktgruppen spezifiziert.
Beachten Sie, dass jede Gruppe einen eindeutigen Namen hat und dass die Gruppen nicht durch die Array-Marker begrenzt sind.
Report-To: { "group": "csp-endpoint-1",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/csp-reports" }
] },
{ "group": "hpkp-endpoint",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/hpkp-reports" }
] }
Wir können eine Endpunktgruppe als Ziel für Verletzungsberichte nach Namen auswählen, auf die gleiche Weise wie im vorherigen Beispiel:
Content-Security-Policy: script-src https://example.com/; report-to csp-endpoint-1
Spezifikationen
Dieser Header ist nicht mehr Teil einer Spezifikation. Er war zuvor Teil der Reporting API.
Browser-Kompatibilität
Siehe auch
- Reporting API und
Reporting-Endpoints-Header report-toCSP-DirektiveContent-Security-Policy,Content-Security-Policy-Report-Only-Header- Content Security Policy (CSP)-Leitfaden