Content-Security-Policy-Report-Only
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Der HTTP Content-Security-Policy-Report-Only Antwort-Header hilft, Verstöße gegen die Content Security Policy (CSP) und deren Auswirkungen zu überwachen, ohne die Sicherheitsrichtlinien durchzusetzen.
Dieser Header ermöglicht es Ihnen, Verstöße zu testen oder zu beheben, bevor eine bestimmte Content-Security-Policy angewendet und durchgesetzt wird.
Die CSP-Direktive report-to muss angegeben werden, damit Berichte gesendet werden: andernfalls hat die Operation keine Wirkung.
Verletzungsberichte werden mit der Reporting API an Endpunkte gesendet, die in einem Reporting-Endpoints HTTP-Antwort-Header definiert sind und unter Verwendung der CSP-Direktive report-to ausgewählt werden.
Für weitere Informationen lesen Sie unseren Content Security Policy (CSP) Leitfaden.
Hinweis:
Der Header kann auch mit der veralteten Direktive report-uri verwendet werden (diese wird durch report-to ersetzt).
Die Verwendung und das resultierende Berichtssyntax sind leicht unterschiedlich; siehe das Thema report-uri für weitere Details.
| Headertyp | Antwort-Header |
|---|---|
| Verbotener Anfrage-Header | Nein |
Dieser Header wird nicht innerhalb eines <meta> Elements unterstützt.
|
|
Syntax
Content-Security-Policy-Report-Only: <policy-directive>; …; <policy-directive>; report-to <endpoint-name>
Direktiven
Der Content-Security-Policy-Report-Only Header unterstützt alle Content-Security-Policy Direktiven außer sandbox, die ignoriert wird.
Hinweis:
Die CSP-Direktive report-to sollte mit diesem Header verwendet werden, andernfalls hat er keine Wirkung.
Beispiele
Verwendung von Content-Security-Policy-Report-Only zum Senden von CSP-Berichten
Um die Direktive report-to zu verwenden, müssen Sie zuerst einen entsprechenden Endpunkt mit dem Antwort-Header Reporting-Endpoints definieren.
Im folgenden Beispiel definieren wir einen einzelnen Endpunkt mit dem Namen csp-endpoint.
Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports"
Wir können dann das Ziel des Berichts mit report-to und report-uri definieren, wie unten gezeigt.
Beachten Sie, dass dieser besondere Bericht ausgelöst würde, wenn die Seite Ressourcen unsicher oder aus Inline-Code geladen hat.
Content-Security-Policy-Report-Only: default-src https:;
report-uri /csp-report-url/;
report-to csp-endpoint;
Hinweis:
Die Direktive report-to wird gegenüber der veralteten report-uri bevorzugt, aber wir deklarieren beide, da report-to noch keine vollständige Cross-Browser-Unterstützung hat.
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # cspro-header |
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
Content-Security-Policy- CSP
report-toDirektive - CSP
report-uriDirektive Veraltet