1. Web
  2. HTTP
  3. Reference
  4. Headers
  5. Content-Security-Policy-Report-Only

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

Content-Security-Policy-Report-Only header

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since ⁨August 2016⁩.

Der HTTP Content-Security-Policy-Report-Only Response-Header hilft dabei, Verstöße gegen die Content Security Policy (CSP) und deren Auswirkungen zu überwachen, ohne die Sicherheitsrichtlinien durchzusetzen. Dieser Header ermöglicht es Ihnen, Verstöße zu testen oder zu beheben, bevor eine bestimmte Content-Security-Policy angewendet und durchgesetzt wird.

Die CSP-Direktive report-to muss angegeben werden, damit Berichte gesendet werden: Wenn nicht, hat die Operation keine Wirkung.

Verstoßberichte werden mithilfe der Reporting API an Endpunkte gesendet, die in einem Reporting-Endpoints HTTP-Response-Header definiert und mit der CSP-Direktive report-to ausgewählt sind.

Für weitere Informationen siehe unseren Content Security Policy (CSP) Leitfaden.

Hinweis: Der Header kann auch mit der veralteten report-uri Direktive verwendet werden (diese wird durch report-to ersetzt). Die Verwendung und das resultierende Berichtsschema unterscheiden sich geringfügig; sehen Sie sich das Thema report-uri für weitere Details an.

Header-Typ Response-Header
Dieser Header wird innerhalb eines <meta> Elements nicht unterstützt.

Syntax

http
Content-Security-Policy-Report-Only: <policy-directive>; …; <policy-directive>; report-to <endpoint-name>

Direktiven

Der Content-Security-Policy-Report-Only Header unterstützt alle Content-Security-Policy Direktiven außer sandbox, die ignoriert wird.

Hinweis: Die CSP-Direktive report-to sollte mit diesem Header verwendet werden, da er sonst keine Wirkung hat.

Beispiele

Verwendung von Content-Security-Policy-Report-Only zum Senden von CSP-Berichten

Um die report-to Direktive zu verwenden, müssen Sie zuerst einen entsprechenden Endpunkt mit dem Reporting-Endpoints Response-Header definieren. Im folgenden Beispiel definieren wir einen einzigen Endpunkt namens csp-endpoint.

http
Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports"

Wir können dann das Ziel des Berichts mit report-to und report-uri festlegen, wie unten gezeigt. Beachten Sie, dass dieser spezielle Bericht ausgelöst würde, wenn die Seite unsichere Ressourcen lädt oder aus Inline-Code stammt.

http
Content-Security-Policy-Report-Only: default-src https:;
  report-uri /csp-report-url/;
  report-to csp-endpoint;

Hinweis: Die report-to Direktive wird gegenüber der veralteten report-uri bevorzugt, aber wir erklären beide, da report-to noch keine vollständige plattformübergreifende Browser-Unterstützung hat.

Spezifikationen

Specification
Content Security Policy Level 3
# cspro-header

Browser-Kompatibilität

Siehe auch

Help improve MDN

Learn how to contribute Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden