Content-Security-Policy-Report-Only header
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Der HTTP Content-Security-Policy-Report-Only
Response-Header hilft, Verstöße gegen die Content Security Policy (CSP) zu überwachen und deren Auswirkungen zu beobachten, ohne die Sicherheitsrichtlinien durchzusetzen.
Dieser Header erlaubt es Ihnen, Verstöße zu testen oder zu beheben, bevor ein spezifischer Content-Security-Policy
angewendet und durchgesetzt wird.
Die CSP report-to
Direktive muss angegeben werden, damit Berichte gesendet werden: Falls nicht, hat die Operation keine Wirkung.
Verletzungsberichte werden unter Verwendung der Reporting API an Endpunkte gesendet, die in einem Reporting-Endpoints
HTTP-Response-Header definiert und mit der CSP report-to
Direktive ausgewählt werden.
Für weitere Informationen siehe unseren Content Security Policy (CSP) Leitfaden.
Hinweis:
Der Header kann auch mit der veralteten report-uri
Direktive verwendet werden (diese wird durch report-to
ersetzt).
Die Verwendung und das resultierende Berichtssyntax sind leicht unterschiedlich; siehe das report-uri
Thema für mehr Details.
Header-Typ | Response-Header |
---|---|
Verbotener Anforderungs-Header | Nein |
Dieser Header wird nicht innerhalb eines <meta> Elements unterstützt.
|
Syntax
Content-Security-Policy-Report-Only: <policy-directive>; …; <policy-directive>; report-to <endpoint-name>
Direktiven
Der Content-Security-Policy-Report-Only
Header unterstützt alle Content-Security-Policy
Direktiven außer sandbox
, welche ignoriert wird.
Hinweis:
Die CSP report-to
Direktive sollte mit diesem Header verwendet werden, ansonsten hat er keine Wirkung.
Beispiele
Verwendung von Content-Security-Policy-Report-Only zur Sendung von CSP-Berichten
Um die report-to
Direktive zu verwenden, müssen Sie zuerst einen entsprechenden Endpunkt mit dem Reporting-Endpoints
Response-Header definieren.
Im nachstehenden Beispiel definieren wir einen einzigen Endpunkt namens csp-endpoint
.
Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports"
Dann können wir das Ziel des Berichts mit report-to
und report-uri
definieren, wie unten gezeigt.
Beachten Sie, dass dieser spezielle Bericht ausgelöst würde, wenn die Seite unsicher Ressourcen lädt oder aus Inline-Code.
Content-Security-Policy-Report-Only: default-src https:;
report-uri /csp-report-url/;
report-to csp-endpoint;
Hinweis:
Die report-to
Direktive wird bevorzugt gegenüber der veralteten report-uri
, aber wir geben beide an, da report-to
noch keine vollständige Cross-Browser-Unterstützung hat.
Spezifikationen
Specification |
---|
Content Security Policy Level 3 # cspro-header |
Browser-Kompatibilität
Siehe auch
Content-Security-Policy
- CSP
report-to
Direktive - CSP
report-uri
Direktive Veraltet