1. Web
  2. HTTP
  3. Reference
  4. Headers
  5. Content-Security-Policy-Report-Only

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

Content-Security-Policy-Report-Only header

Baseline Weitgehend verfügbar

Diese Funktion ist gut etabliert und funktioniert auf vielen Geräten und in vielen Browserversionen. Sie ist seit August 2016 browserübergreifend verfügbar.

Der HTTP Content-Security-Policy-Report-Only Antwort-Header hilft dabei, Verstöße gegen die Content Security Policy (CSP) zu überwachen und ihre Auswirkungen ohne Durchsetzung der Sicherheitsrichtlinien zu analysieren. Dieser Header ermöglicht es, Verstöße zu testen oder zu beheben, bevor eine spezifische Content-Security-Policy angewendet und durchgesetzt wird.

Die CSP-Direktive report-to muss angegeben werden, damit Berichte gesendet werden: Wenn nicht, hat der Vorgang keine Wirkung.

Verstöße gegen die Richtlinie können mit der Reporting API gemeldet werden. Berichte können auf der Seite, für die die Richtlinie durchgesetzt wird, mithilfe eines ReportingObserver beobachtet werden und an Server-Endpunkte gesendet werden, die in einem Reporting-Endpoints HTTP-Antwort-Header definiert und mit der CSP-Direktive report-to ausgewählt wurden. Weitere Informationen finden Sie unter CSPViolationReport.

Weitere Informationen finden Sie in unserem Content Security Policy (CSP)-Leitfaden.

Hinweis: Der Header kann auch mit der veralteten report-uri-Direktive verwendet werden (diese wird durch report-to ersetzt). Die Nutzung und das resultierende Berichtssyntax sind leicht unterschiedlich; siehe das Thema report-uri für mehr Details.

Header-Typ Antwort-Header
Dieser Header wird nicht innerhalb eines <meta>-Elements unterstützt.

Syntax

http
Content-Security-Policy-Report-Only: <policy-directive>; …; <policy-directive>; report-to <endpoint-name>

Direktiven

Der Content-Security-Policy-Report-Only-Header unterstützt alle Content-Security-Policy-Direktiven außer sandbox, das ignoriert wird.

Hinweis: Die CSP-Direktive report-to sollte mit diesem Header verwendet werden, sonst hat es keinen Effekt.

Beispiele

Verwendung von Content-Security-Policy-Report-Only zum Senden von CSP-Berichten

Um die report-to-Direktive zu verwenden, müssen Sie zuerst einen entsprechenden Endpunkt mit dem Reporting-Endpoints-Antwort-Header definieren. Im untenstehenden Beispiel definieren wir einen einzelnen Endpunkt mit dem Namen csp-endpoint.

http
Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports"

Wir können dann das Ziel des Berichts mit report-to und report-uri festlegen, wie unten gezeigt. Beachten Sie, dass dieser spezielle Bericht ausgelöst wird, wenn die Seite unsicher Ressourcen oder aus eingebettetem Code lädt.

http
Content-Security-Policy-Report-Only: default-src https:;
  report-uri /csp-report-url/;
  report-to csp-endpoint;

Hinweis: Die report-to-Direktive wird über der veralteten report-uri bevorzugt, aber wir geben beide an, da report-to noch keine vollständige Unterstützung über alle Browser hinweg hat.

Spezifikationen

Spezifikation
Content Security Policy Level 3
# cspro-header

Browser-Kompatibilität

Siehe auch

Help improve MDN

Erfahren Sie, wie Sie beitragen können Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden