Movatterモバイル変換

[0]ホーム
URL:

  1. Web
  2. Web-APIs
  3. CSPViolationReportBody

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten.Erfahre mehr über dieses Experiment.

View in EnglishAlways switch to English

CSPViolationReportBody

Sicherer Kontext: Diese Funktion ist nur insicheren Kontexten (HTTPS) in einigen oder allenunterstützenden Browsern verfügbar.

DasCSPViolationReportBody Interface ist eine Erweiterung derReporting API, die den Körper eines Content Security Policy (CSP) Verstoßberichts darstellt.

CSP-Verstöße werden ausgelöst, wenn die Webseite versucht, eine Ressource zu laden, die gegen die durch denContent-Security-Policy HTTP-Header festgelegte Richtlinie verstößt.

CSP-Verstoßberichte werden imreports Parameter vonReportingObserver Rückrufen zurückgegeben, die einentype von"csp-violation" haben.Diebody-Eigenschaft dieser Berichte ist eine Instanz vonCSPViolationReportBody.

CSP-Verstoßberichte können auch als JSON-Objekte an den in derreport-to Richtliniendirektive desContent-Security-Policy Headers angegebenen Endpunkt gesendet werden.Diese Berichte haben ebenfalls einentype von"csp-violation" und einebody-Eigenschaft, die eine Serialisierung einer Instanz dieses Interface enthält.

Hinweis:CSP-Verstoßberichte, die von der Reporting API gesendet werden, wenn ein Endpunkt mithilfe der CSPreport-to Direktive angegeben wird, sind ähnlich (aber nicht identisch) zu den "CSP-Bericht"JSON-Objekten, die gesendet werden, wenn Endpunkte mithilfe derreport-uri Direktive angegeben werden.Die Reporting API und diereport-to Direktive sollen das ältere Berichtsformat und diereport-uri Direktive ersetzen.

Instanzeigenschaften

Erbt auch Eigenschaften von seiner Elternschnittstelle,ReportBody.

CSPViolationReportBody.blockedURLSchreibgeschützt

Ein String, der entweder den Typ oder die URL der Ressource darstellt, die gesperrt wurde, weil sie gegen die CSP verstößt.

CSPViolationReportBody.columnNumberSchreibgeschützt

Die Spaltennummer im Skript, bei der der Verstoß aufgetreten ist.

CSPViolationReportBody.dispositionSchreibgeschützt

Gibt an, wie die verletzte Richtlinie vom User-Agent behandelt werden soll. Dies kann"enforce" oder"report" sein.

CSPViolationReportBody.documentURLSchreibgeschützt

Ein String, der die URL des Dokuments oder Workers darstellt, in dem der Verstoß gefunden wurde.

CSPViolationReportBody.effectiveDirectiveSchreibgeschützt

Ein String, der die Direktive darstellt, deren Durchsetzung den Verstoß aufgedeckt hat.

CSPViolationReportBody.lineNumberSchreibgeschützt

Die Zeilennummer im Skript, bei der der Verstoß aufgetreten ist.

CSPViolationReportBody.originalPolicySchreibgeschützt

Ein String, der die Richtlinie enthält, deren Durchsetzung den Verstoß aufgedeckt hat.

CSPViolationReportBody.referrerSchreibgeschützt

Ein String, der die URL des Referrers der Ressourcen darstellt, deren Richtlinie verletzt wurde, odernull.

CSPViolationReportBody.sampleSchreibgeschützt

Ein String, der eine Probe der Ressource darstellt, die den Verstoß verursacht hat, normalerweise die ersten 40 Zeichen. Dies wird nur befüllt, wenn die Ressource ein Inline-Skript, Event-Handler oder Style ist – externe Ressourcen, die einen Verstoß verursachen, erzeugen keine Probe.

CSPViolationReportBody.sourceFileSchreibgeschützt

Wenn der Verstoß durch ein Skript verursacht wurde, wird dies die URL des Skripts sein; andernfalls wird esnull sein. SowohlcolumnNumber als auchlineNumber sollten nicht-null Werte haben, wenn diese Eigenschaft nichtnull ist.

CSPViolationReportBody.statusCodeSchreibgeschützt

Eine Zahl, die den HTTP-Statuscode des Dokuments oder Workers darstellt, in dem der Verstoß aufgetreten ist.

Instanzmethoden

Erbt auch Methoden von seiner Elternschnittstelle,ReportBody.

CSPViolationReportBody.toJSON()Veraltet

EinSerializer, der eine JSON-Darstellung desCSPViolationReportBody Objekts zurückgibt.

Beispiele

EinCSPViolationReportBody Objekt erhalten

Um einCSPViolationReportBody Objekt zu erhalten, müssen Sie Ihre Seite so konfigurieren, dass ein CSP-Verstoß auftritt.In diesem Beispiel werden wir unsere CSP so einstellen, dass nur Inhalte vom eigenen Ursprung der Seite erlaubt sind, und dann versuchen, ein Skript vonapis.google.com zu laden, das ein externer Ursprung ist.

Zuerst setzen wir denContent-Security-Policy Header in der HTTP-Antwort:

http
Content-Security-Policy: default-src 'self';

oder im HTML<meta> Element:

html
<meta http-equiv="Content-Security-Policy" content="default-src 'self'" />

Dann versuchen wir, ein externes Skript zu laden:

html
<!-- This should generate a CSP violation --><script src="https://apis.google.com/js/platform.js"></script>

Schließlich erstellen wir ein neuesReportingObserver Objekt, um auf CSP-Verstöße zu lauschen (dies muss vom gleichen Ort geladen werden, bevor das Skript, das den Verstoß verursacht).

js
const observer = new ReportingObserver(  (reports, observer) => {    reports.forEach((violation) => {      console.log(violation);      console.log(JSON.stringify(violation));    });  },  {    types: ["csp-violation"],    buffered: true,  },);observer.observe();

Oben protokollieren wir jedes Verstoßberichtobjekt und eine JSON-String-Version des Objekts, die dem untenstehenden Objekt ähnlich sehen könnte.Beachten Sie, dassbody eine Instanz desCSPViolationReportBody ist undtype"csp-violation" ist.

json
{  "type": "csp-violation",  "url": "http://127.0.0.1:9999/",  "body": {    "sourceFile": null,    "lineNumber": null,    "columnNumber": null,    "documentURL": "http://127.0.0.1:9999/",    "referrer": "",    "blockedURL": "https://apis.google.com/js/platform.js",    "effectiveDirective": "script-src-elem",    "originalPolicy": "default-src 'self';",    "sample": "",    "disposition": "enforce",    "statusCode": 200  }}

Einen CSP-Verstoßbericht senden

Das Konfigurieren einer Webseite zum Senden eines CSP-Verstoßberichts ist ähnlich wie das vorherige Beispiel.Wie zuvor müssen Sie Ihre Seite so konfigurieren, dass ein Verstoß auftritt.

Zusätzlich müssen Sie auch die Endpunkte angeben, an die der Bericht gesendet wird.Ein Server gibt Endpunkte mithilfe desReporting-Endpoints Antwort-Headers an: diese müssen sichere URLs (HTTPS) sein.Die CSPreport-to Direktive wird dann verwendet, um anzugeben, dass ein bestimmter Endpunkt für das Melden von CSP-Verstößen verwendet wird:

http
Reporting-Endpoints: csp-endpoint="https://example.com/csp-report-to"Content-Security-Policy: default-src 'self'; report-to csp-endpoint

Wie zuvor können wir einen Verstoß auslösen, indem wir ein externes Skript von einem Ort laden, der von unserem CSP-Header nicht erlaubt ist:

html
<!-- This should generate a CSP violation --><script src="https://apis.google.com/js/platform.js"></script>

Der Verstoßbericht wird dann als JSON-Datei an den angegebenen Endpunkt gesendet.Wie Sie dem unten stehenden Beispiel entnehmen können, isttype"csp-violation" und diebody Eigenschaft ist eine Serialisierung desCSPViolationReportBody Objekts:

json
[  {    "age": 53531,    "body": {      "blockedURL": "inline",      "columnNumber": 59,      "disposition": "enforce",      "documentURL": "https://example.com/csp-report-to",      "effectiveDirective": "script-src-elem",      "lineNumber": 1441,      "originalPolicy": "default-src 'self'; report-to csp-endpoint",      "referrer": "https://www.google.com/",      "sample": "",      "sourceFile": "https://example.com/csp-report-to",      "statusCode": 200    },    "type": "csp-violation",    "url": "https://example.com/csp-report-to",    "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36"  }]

Spezifikationen

Specification
Content Security Policy Level 3
# dictdef-cspviolationreportbody

Browser-Kompatibilität

Siehe auch

Help improve MDN

Learn how to contribute Diese Seite wurde automatisch aus dem Englischen übersetzt.
[8]ページ先頭
©2009-2026 Movatter.jp