Content-Security-Policy-Report-Only
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Der HTTP Content-Security-Policy-Report-Only Antwort-Header hilft dabei, Verstöße gegen die Content Security Policy (CSP) und deren Auswirkungen zu überwachen, ohne die Sicherheitsrichtlinien durchzusetzen.
Dieser Header ermöglicht es Ihnen, Verstöße zu testen oder zu beheben, bevor eine spezifische Content-Security-Policy angewendet und durchgesetzt wird.
Die CSP-Direktive report-to muss spezifiziert sein, damit Berichte gesendet werden: Wenn nicht, wird die Operation keine Auswirkungen haben.
Verletzungsberichte werden unter Verwendung der Reporting API an Endpunkte gesendet, die in einem Reporting-Endpoints HTTP-Antwort-Header definiert sind und unter Verwendung der CSP report-to Direktive ausgewählt werden.
Für weitere Informationen siehe unseren Content Security Policy (CSP) Leitfaden.
Hinweis:
Der Header kann auch mit der veralteten Direktive report-uri verwendet werden (diese wird durch report-to ersetzt).
Die Verwendung und die resultierende Berichts-Syntax sind etwas anders; siehe das Thema report-uri für weitere Details.
| Header-Typ | Antwort-Header |
|---|---|
| Unzulässiger Anfrage-Header | Nein |
Dieser Header wird nicht innerhalb eines <meta> Elements unterstützt.
|
|
Syntax
Content-Security-Policy-Report-Only: <policy-directive>; …; <policy-directive>; report-to <endpoint-name>
Direktiven
Der Content-Security-Policy-Report-Only Header unterstützt alle Content-Security-Policy Direktiven außer sandbox, die ignoriert wird.
Hinweis:
Die CSP-Direktive report-to sollte mit diesem Header verwendet werden, ansonsten hat sie keine Wirkung.
Beispiele
Verwendung von Content-Security-Policy-Report-Only zum Senden von CSP-Berichten
Um die Direktive report-to zu verwenden, müssen Sie zuerst einen entsprechenden Endpunkt mit dem Reporting-Endpoints Antwort-Header definieren.
Im untenstehenden Beispiel definieren wir einen einzelnen Endpunkt namens csp-endpoint.
Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports"
Wir können dann das Ziel des Berichts mit report-to und report-uri definieren, wie unten gezeigt.
Beachten Sie, dass dieser spezielle Bericht ausgelöst würde, wenn die Seite Ressourcen unsicher oder aus Inline-Code laden würde.
Content-Security-Policy-Report-Only: default-src https:;
report-uri /csp-report-url/;
report-to csp-endpoint;
Hinweis:
Die report-to Direktive wird der veralteten report-uri vorgezogen, aber wir deklarieren beide, da report-to noch keine vollständige Unterstützung über alle Browser hinweg hat.
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # cspro-header |
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
Content-Security-Policy- CSP
report-toDirektive - CSP
report-uriDirektive Veraltet