Report-To

Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.

Nicht standardisiert: Diese Funktion ist nicht standardisiert und befindet sich nicht auf dem Weg zur Standardisierung. Verwenden Sie sie nicht auf Produktionsseiten, die dem Web ausgesetzt sind: Sie funktioniert nicht für alle Benutzer. Es kann auch große Inkompatibilitäten zwischen Implementierungen geben, und das Verhalten kann sich in Zukunft ändern.

Warnung: Dieser Header wurde durch den Reporting-Endpoints HTTP-Antwort-Header ersetzt. Er ist ein veralteter Teil einer früheren Iteration der Reporting API-Spezifikation.

Der HTTP Report-To Antwort-Header ermöglicht es Website-Administratoren, benannte Gruppen von Endpunkten zu definieren, die als Ziel für Warn- und Fehlerberichte verwendet werden können, wie z.B. CSP-Verletzungsberichte, Cross-Origin-Opener-Policy-Berichte, veraltete Berichte oder andere allgemeine Verletzungen.

Report-To wird häufig in Verbindung mit anderen Headern verwendet, die eine Gruppe von Endpunkten für eine bestimmte Art von Berichten auswählen. Zum Beispiel kann die Content-Security-Policy-Header-report-to-Direktive verwendet werden, um die Gruppe auszuwählen, die für das Melden von CSP-Verletzungen verwendet wird.

Header-Typ	Antwort-Header
Verbotener Anfrage-Header	Nein
CORS-safelisted Antwort-Header	Nein

Syntax

http

Report-To: <json-field-value>

<json-field-value>

Eine oder mehrere Endpunkt-Gruppendefinitionen, definiert als JSON-Array, das die umgebenden [ und ] Klammern weglässt. Jedes Objekt im Array hat die folgenden Mitglieder:

group: Ein Name für die Gruppe von Endpunkten.
max_age: Die Zeit in Sekunden, die der Browser die Berichterstattungskonfiguration zwischenspeichern soll.
endpoints: Ein Array von einer oder mehreren URLs, an die die Berichte in der Gruppe gesendet werden sollen.

Beispiele

Festlegen eines Endpunkts für CSP-Verletzungsberichte

Dieses Beispiel zeigt, wie ein Server Report-To verwenden könnte, um eine Gruppe von Endpunkten zu definieren, und dann die Gruppe als den Ort festzulegen, an den CSP-Verletzungsberichte gesendet werden.

Zuerst könnte ein Server eine Antwort mit dem Report-To-HTTP-Antwort-Header senden, wie unten gezeigt. Dies spezifiziert eine Gruppe von url-Endpunkten, die durch den Gruppennamen csp-endpoints identifiziert werden.

http

Report-To: { "group": "csp-endpoints",
              "max_age": 10886400,
              "endpoints": [
                { "url": "https://example.com/reports" },
                { "url": "https://backup.com/reports" }
              ] }

Der Server kann dann angeben, dass er möchte, dass diese Gruppe das Ziel für das Senden von CSP-Verletzungsberichten ist, indem er den Gruppennamen als Wert der report-to-Direktive festlegt:

http

Content-Security-Policy: script-src https://example.com/; report-to csp-endpoints

Angesichts der oben genannten Header würden bei script-src-CSP-Verletzungen die Verletzungsberichte an beide url-Werte gesendet, die in Report-To aufgeführt sind.

Spezifizieren mehrerer Berichtsgruppen

Das folgende Beispiel zeigt einen Report-To-Header, der mehrere Endpunkt-Gruppen spezifiziert. Beachten Sie, dass jede Gruppe einen eindeutigen Namen hat und dass die Gruppen nicht durch die Array-Markierungen begrenzt sind.

http

Report-To: { "group": "csp-endpoint-1",
              "max_age": 10886400,
              "endpoints": [
                { "url": "https://example.com/csp-reports" }
              ] },
            { "group": "hpkp-endpoint",
              "max_age": 10886400,
              "endpoints": [
                { "url": "https://example.com/hpkp-reports" }
              ] }

Wir können eine Endpunkt-Gruppe als Ziel für Verletzungsberichte durch ihren Namen auswählen, auf die gleiche Weise wie im vorherigen Beispiel:

http

Content-Security-Policy: script-src https://example.com/; report-to csp-endpoint-1

Spezifikationen

Dieser Header ist nicht mehr Teil einer Spezifikation. Er war zuvor Teil der Reporting API.

Browser-Kompatibilität

Report problems with this compatibility data on GitHub

	desktop					mobile
	Chrome	Edge	Firefox	Opera	Safari	Chrome Android	Firefox for Android	Opera Android	Safari on iOS	Samsung Internet	WebView Android	WebView on iOS
`Report-To` DeprecatedNon-standard

Tip: you can click/tap on a cell for more information.

Full support: Full support
No support: No support
: Non-standard. Check cross-browser support before using.
: Deprecated. Not for use in new websites.
: User must explicitly enable this feature.

Siehe auch

Reporting API und Reporting-Endpoints-Header
report-to CSP-Direktive
Content-Security-Policy, Content-Security-Policy-Report-Only-Header
Content Security Policy (CSP) Leitfaden

Syntax

Beispiele

Festlegen eines Endpunkts für CSP-Verletzungsberichte

Spezifizieren mehrerer Berichtsgruppen

Spezifikationen

Browser-Kompatibilität

Legend

Siehe auch