Content-Security-Policy-Report-Only
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Der HTTP Content-Security-Policy-Report-Only Response-Header hilft dabei, Verstöße gegen die Content Security Policy (CSP) zu überwachen und deren Auswirkungen zu beobachten, ohne die Sicherheitsrichtlinien durchzusetzen.
Dieser Header ermöglicht es Ihnen, Verstöße zu testen oder zu beheben, bevor eine spezifische Content-Security-Policy angewendet und durchgesetzt wird.
Die CSP-Direktive report-to muss angegeben werden, damit Berichte gesendet werden können: Andernfalls hat die Operation keinen Effekt.
Verstoßmeldungen werden unter Verwendung der Reporting API an Endpunkte gesendet, die in einem HTTP-Response-Header Reporting-Endpoints definiert und mit der CSP-Direktive report-to ausgewählt werden.
Für weitere Informationen siehe unseren Content Security Policy (CSP) Leitfaden.
Hinweis: Der Header kann auch mit der veralteten Direktive report-uri verwendet werden (diese wird durch report-to ersetzt).
Die Nutzung und das resultierende Berichtssyntax sind leicht unterschiedlich; sehen Sie sich das Thema report-uri für mehr Details an.
| Headertyp | Response-Header |
|---|---|
| Verbotener Header-Name | Nein |
Dieser Header wird in einem <meta>-Element nicht unterstützt. |
|
Syntax
Content-Security-Policy-Report-Only: <policy-directive>; …; <policy-directive>; report-to <endpoint-name>
Direktiven
Der Content-Security-Policy-Report-Only Header unterstützt alle Content-Security-Policy Direktiven außer sandbox, welches ignoriert wird.
Hinweis: Die CSP-Direktive report-to sollte mit diesem Header verwendet werden, andernfalls hat sie keinen Effekt.
Beispiele
Verwenden von Content-Security-Policy-Report-Only zum Senden von CSP-Berichten
Um die report-to Direktive zu verwenden, müssen Sie zuerst einen entsprechenden Endpunkt mittels des Reporting-Endpoints Response-Headers definieren.
Im untenstehenden Beispiel definieren wir einen einzelnen Endpunkt namens csp-endpoint.
Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports"
Wir können dann das Ziel des Berichts mit report-to und report-uri definieren, wie unten gezeigt.
Beachten Sie, dass dieser spezielle Bericht ausgelöst würde, wenn die Seite unsichere Ressourcen lädt oder von Inline-Code stammt.
Content-Security-Policy-Report-Only: default-src https:;
report-uri /csp-report-url/;
report-to csp-endpoint;
Hinweis: Die report-to Direktive wird dem veralteten report-uri vorgezogen, aber wir deklarieren beide, da report-to noch keine vollständige browserübergreifende Unterstützung hat.
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # cspro-header |
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
Content-Security-Policy- CSP
report-toDirektive - CSP
report-uriDirektive Veraltet