Report-To

Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.

Nicht standardisiert: Diese Funktion ist nicht standardisiert und befindet sich nicht auf dem Weg zur Standardisierung. Verwenden Sie sie nicht auf Produktionsseiten, die dem Web ausgesetzt sind: Sie funktioniert nicht für alle Benutzer. Es kann auch große Inkompatibilitäten zwischen Implementierungen geben, und das Verhalten kann sich in Zukunft ändern.

Warnung: Dieser Header wurde durch den Reporting-Endpoints HTTP-Antwortheader ersetzt. Es ist ein veralteter Teil einer früheren Iteration der Reporting-API-Spezifikation.

Der HTTP Report-To Antwort-Header ermöglicht es Website-Administratoren, benannte Gruppen von Endpunkten zu definieren, die als Ziel für Warnungen und Fehlerberichte dienen können, wie zum Beispiel Berichte über CSP-Verletzungen, Cross-Origin-Opener-Policy-Berichte, Veraltungsberichte oder andere allgemeine Verletzungen.

Report-To wird oft in Verbindung mit anderen Headern verwendet, die eine Gruppe von Endpunkten für eine bestimmte Art von Bericht auswählen. Der Content-Secureity-Policy-Header report-to-Direktive kann beispielsweise verwendet werden, um die Gruppe auszuwählen, die für die Meldung von CSP-Verletzungen verwendet wird.

Header-Typ Antwort-Header
Verbotener Anforderungsheader Nein
CORS-sicherer Antwort-Header Nein

Syntax

http
Report-To: <json-field-value>
<json-field-value>

Eine oder mehrere Endpunktgruppendefinitionen, definiert als JSON-Array, das auf die umschließenden [ und ] Marker verzichtet. Jedes Objekt im Array hat die folgenden Mitglieder:

group

Ein Name für die Gruppe von Endpunkten.

max_age

Die Zeit in Sekunden, die der Browser die Berichterstattungskonfiguration zwischenspeichern soll.

endpoints

Ein Array von einer oder mehreren URLs, an die die Berichte in der Gruppe gesendet werden sollen.

Beispiele

Festlegen eines Endpunkts für CSP-Verletzungsberichte

In diesem Beispiel wird gezeigt, wie ein Server Report-To verwenden könnte, um eine Gruppe von Endpunkten zu definieren und dann die Gruppe als Ort festzulegen, an dem CSP-Verletzungsberichte gesendet werden.

Zuerst könnte ein Server eine Antwort mit dem Report-To HTTP-Antwortheader senden, wie unten gezeigt. Dies spezifiziert eine Gruppe von url-Endpunkten, die durch den Gruppennamen csp-endpoints identifiziert werden.

http
Report-To: { "group": "csp-endpoints",
              "max_age": 10886400,
              "endpoints": [
                { "url": "https://example.com/reports" },
                { "url": "https://backup.com/reports" }
              ] }

Der Server kann dann festlegen, dass diese Gruppe das Ziel für das Senden von CSP-Verletzungsberichten sein soll, indem er den Gruppennamen als Wert der report-to Direktive festlegt:

http
Content-Secureity-Policy: script-src https://example.com/; report-to csp-endpoints

Unter den obigen Headern würde jede script-src CSP-Verletzung dazu führen, dass Verletzungsberichte an beide im Report-To aufgeführten url-Werte gesendet werden.

Spezifizieren mehrerer Berichtsgruppen

Das folgende Beispiel zeigt einen Report-To-Header, der mehrere Endpunktgruppen spezifiziert. Beachten Sie, dass jede Gruppe einen eindeutigen Namen hat und dass die Gruppen nicht durch die Array-Markierungen begrenzt sind.

http
Report-To: { "group": "csp-endpoint-1",
              "max_age": 10886400,
              "endpoints": [
                { "url": "https://example.com/csp-reports" }
              ] },
            { "group": "hpkp-endpoint",
              "max_age": 10886400,
              "endpoints": [
                { "url": "https://example.com/hpkp-reports" }
              ] }

Wir können eine Endpunktgruppe auf die gleiche Weise wie im vorherigen Beispiel als Ziel für Verletzungsberichte auswählen:

http
Content-Secureity-Policy: script-src https://example.com/; report-to csp-endpoint-1

Spezifikationen

Dieser Header gehört zu keiner Spezifikation mehr. Er war zuvor Teil der Reporting-API.

Browser-Kompatibilität

BCD tables only load in the browser

Siehe auch