Content-Security-Policy-Report-Only header

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

Der HTTP Content-Security-Policy-Report-Only Response-Header hilft, Verstöße gegen die Content Security Policy (CSP) zu überwachen und deren Auswirkungen zu beobachten, ohne die Sicherheitsrichtlinien durchzusetzen. Dieser Header erlaubt es Ihnen, Verstöße zu testen oder zu beheben, bevor ein spezifischer Content-Security-Policy angewendet und durchgesetzt wird.

Die CSP report-to Direktive muss angegeben werden, damit Berichte gesendet werden: Falls nicht, hat die Operation keine Wirkung.

Verletzungsberichte werden unter Verwendung der Reporting API an Endpunkte gesendet, die in einem Reporting-Endpoints HTTP-Response-Header definiert und mit der CSP report-to Direktive ausgewählt werden.

Für weitere Informationen siehe unseren Content Security Policy (CSP) Leitfaden.

Hinweis: Der Header kann auch mit der veralteten report-uri Direktive verwendet werden (diese wird durch report-to ersetzt). Die Verwendung und das resultierende Berichtssyntax sind leicht unterschiedlich; siehe das report-uri Thema für mehr Details.

Header-Typ Response-Header
Verbotener Anforderungs-Header Nein
Dieser Header wird nicht innerhalb eines <meta> Elements unterstützt.

Syntax

http
Content-Security-Policy-Report-Only: <policy-directive>; …; <policy-directive>; report-to <endpoint-name>

Direktiven

Der Content-Security-Policy-Report-Only Header unterstützt alle Content-Security-Policy Direktiven außer sandbox, welche ignoriert wird.

Hinweis: Die CSP report-to Direktive sollte mit diesem Header verwendet werden, ansonsten hat er keine Wirkung.

Beispiele

Verwendung von Content-Security-Policy-Report-Only zur Sendung von CSP-Berichten

Um die report-to Direktive zu verwenden, müssen Sie zuerst einen entsprechenden Endpunkt mit dem Reporting-Endpoints Response-Header definieren. Im nachstehenden Beispiel definieren wir einen einzigen Endpunkt namens csp-endpoint.

http
Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports"

Dann können wir das Ziel des Berichts mit report-to und report-uri definieren, wie unten gezeigt. Beachten Sie, dass dieser spezielle Bericht ausgelöst würde, wenn die Seite unsicher Ressourcen lädt oder aus Inline-Code.

http
Content-Security-Policy-Report-Only: default-src https:;
  report-uri /csp-report-url/;
  report-to csp-endpoint;

Hinweis: Die report-to Direktive wird bevorzugt gegenüber der veralteten report-uri, aber wir geben beide an, da report-to noch keine vollständige Cross-Browser-Unterstützung hat.

Spezifikationen

Specification
Content Security Policy Level 3
# cspro-header

Browser-Kompatibilität

Siehe auch