Report-To
Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, kann sie bereits aus den relevanten Webstandards entfernt worden sein, befindet sich im Prozess der Entfernung oder wird nur aus Kompatibilitätsgründen beibehalten. Vermeiden Sie die Verwendung und aktualisieren Sie gegebenenfalls bestehenden Code; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu treffen. Beachten Sie, dass diese Funktion jederzeit nicht mehr funktionieren kann.
Kein Standard: Diese Funktion ist nicht standardisiert und befindet sich nicht im Standardisierungsprozess. Verwenden Sie sie nicht auf Produktionsseiten, die auf das Web ausgerichtet sind: Sie wird nicht für alle Benutzer funktionieren. Außerdem kann es große Inkompatibilitäten zwischen Implementierungen geben und das Verhalten kann sich in Zukunft ändern.
Warnung: Dieser Header wurde durch den HTTP-Antwortheader Reporting-Endpoints ersetzt.
Er ist ein veralteter Teil einer früheren Iteration der Reporting API-Spezifikation.
Der HTTP Report-To Antwort-Header ermöglicht es Website-Administratoren, benannte Gruppen von Endpunkten zu definieren, die als Ziel für Warn- und Fehlermeldungen verwendet werden können, wie z.B. CSP-Verstöße, Cross-Origin-Opener-Policy Berichte, Veraltungsberichte oder andere allgemeine Verstöße.
Report-To wird häufig zusammen mit anderen Headern verwendet, die eine Gruppe von Endpunkten für eine bestimmte Art von Bericht auswählen.
Zum Beispiel kann die Richtlinie Content-Security-Policy report-to verwendet werden, um die Gruppe auszuwählen, die für die Meldung von CSP-Verstößen verwendet wird.
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Headername | Nein |
| CORS-safe gelisteter Antwort-Header | Nein |
Syntax
Report-To: <json-field-value>
<json-field-value>-
Eine oder mehrere Definitionen von Endpunktgruppen, definiert als JSON-Array, das die umgebenden
[und]Markierungen weglässt. Jedes Objekt im Array hat die folgenden Mitglieder:
Beispiele
Einstellen eines CSP-Verstoßmeldungsendpunkts
Dieses Beispiel zeigt, wie ein Server Report-To verwenden könnte, um eine Gruppe von Endpunkten zu definieren, und dann die Gruppe als Ort festlegt, an den CSP-Verstoßberichte gesendet werden.
Zuerst könnte ein Server eine Antwort mit dem Report-To HTTP-Antwortheader senden, wie unten gezeigt.
Dies legt eine Gruppe von url Endpunkten fest, die durch den Gruppennamen csp-endpoints identifiziert werden.
Report-To: { "group": "csp-endpoints",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/reports" },
{ "url": "https://backup.com/reports" }
] }
Der Server kann dann angeben, dass er möchte, dass diese Gruppe das Ziel für das Senden von CSP-Verstoßberichten ist, indem er den Gruppennamen als Wert der report-to Direktive festlegt:
Content-Security-Policy: script-src https://example.com/; report-to csp-endpoints
Bei den obigen Headern würden CSP-Verstöße script-src-Verstöße dazu führen, dass Verstoßberichte an beide url-Werte gesendet werden, die in Report-To aufgelistet sind.
Spezifizierung mehrerer Berichterstattungsgruppen
Das untenstehende Beispiel zeigt einen Report-To Header, der mehrere Endpunktgruppen angibt.
Beachten Sie, dass jede Gruppe einen eindeutigen Namen hat und dass die Gruppen nicht durch Array-Markierungen begrenzt sind.
Report-To: { "group": "csp-endpoint-1",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/csp-reports" }
] },
{ "group": "hpkp-endpoint",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/hpkp-reports" }
] }
Wir können eine Endpunktgruppe als Ziel für Verstöße durch Namen auswählen, auf die gleiche Weise, wie wir es im vorherigen Beispiel getan haben:
Content-Security-Policy: script-src https://example.com/; report-to csp-endpoint-1
Spezifikationen
Dieser Header ist nicht mehr Teil einer Spezifikation. Er war zuvor Teil der Reporting API.
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
- Reporting API und
Reporting-EndpointsHeader report-toCSP RichtlinieContent-Security-Policy,Content-Security-Policy-Report-OnlyHeader- Content Security Policy (CSP) Leitfaden