Content-Security-Policy-Report-Only header
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Der HTTP Content-Security-Policy-Report-Only Response-Header hilft, Verstöße gegen die Content Security Policy (CSP) zu überwachen und deren Auswirkungen zu beobachten, ohne die Sicherheitsrichtlinien durchzusetzen.
Dieser Header erlaubt es Ihnen, Verstöße zu testen oder zu beheben, bevor ein spezifischer Content-Security-Policy angewendet und durchgesetzt wird.
Die CSP report-to Direktive muss angegeben werden, damit Berichte gesendet werden: Falls nicht, hat die Operation keine Wirkung.
Verletzungsberichte werden unter Verwendung der Reporting API an Endpunkte gesendet, die in einem Reporting-Endpoints HTTP-Response-Header definiert und mit der CSP report-to Direktive ausgewählt werden.
Für weitere Informationen siehe unseren Content Security Policy (CSP) Leitfaden.
Hinweis:
Der Header kann auch mit der veralteten report-uri Direktive verwendet werden (diese wird durch report-to ersetzt).
Die Verwendung und das resultierende Berichtssyntax sind leicht unterschiedlich; siehe das report-uri Thema für mehr Details.
| Header-Typ | Response-Header |
|---|---|
| Verbotener Anforderungs-Header | Nein |
Dieser Header wird nicht innerhalb eines <meta> Elements unterstützt.
|
|
Syntax
Content-Security-Policy-Report-Only: <policy-directive>; …; <policy-directive>; report-to <endpoint-name>
Direktiven
Der Content-Security-Policy-Report-Only Header unterstützt alle Content-Security-Policy Direktiven außer sandbox, welche ignoriert wird.
Hinweis:
Die CSP report-to Direktive sollte mit diesem Header verwendet werden, ansonsten hat er keine Wirkung.
Beispiele
Verwendung von Content-Security-Policy-Report-Only zur Sendung von CSP-Berichten
Um die report-to Direktive zu verwenden, müssen Sie zuerst einen entsprechenden Endpunkt mit dem Reporting-Endpoints Response-Header definieren.
Im nachstehenden Beispiel definieren wir einen einzigen Endpunkt namens csp-endpoint.
Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports"
Dann können wir das Ziel des Berichts mit report-to und report-uri definieren, wie unten gezeigt.
Beachten Sie, dass dieser spezielle Bericht ausgelöst würde, wenn die Seite unsicher Ressourcen lädt oder aus Inline-Code.
Content-Security-Policy-Report-Only: default-src https:;
report-uri /csp-report-url/;
report-to csp-endpoint;
Hinweis:
Die report-to Direktive wird bevorzugt gegenüber der veralteten report-uri, aber wir geben beide an, da report-to noch keine vollständige Cross-Browser-Unterstützung hat.
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # cspro-header |
Browser-Kompatibilität
Siehe auch
Content-Security-Policy- CSP
report-toDirektive - CSP
report-uriDirektive Veraltet