Der HTTP-Reporting-Endpoints-Response-Header ermöglicht es Website-Administratoren, ein oder mehrere Endpunkte anzugeben, an die Berichte gesendet werden können, die von derReporting API generiert werden.

Die Endpunkte können beispielsweise als Ziele für das Senden von CSP-Verletzungsberichten,Cross-Origin-Opener-Policy-Berichten oder anderen generischen Verletzungen verwendet werden.

Wenn dieser Header zum Melden vonContent Security Policy (CSP)-Fehlern verwendet wird, wird er in Verbindung mit demContent-Security-Policy-Header und derreport-to-Direktive verwendet.Für weitere Details zur Einrichtung der CSP-Berichterstattung, siehe dieContent Security Policy (CSP)-Dokumentation.

Syntax

Reporting-Endpoints: <endpoint>Reporting-Endpoints: <endpoint>, …, <endpointN>

<endpoint>

Ein Berichts-Endpunkt im Format<endpoint-name>="<URL>".Die Endpunkte müssen gültige URIs in Anführungszeichen enthalten (z.B.my-endpoint="https://example.com/reports") und nicht sichere Endpunkte werden ignoriert.Eine durch Kommas getrennte Liste von Endpunkten kann angegeben werden.

Beispiele

Festlegen eines CSP-Verletzungsberichts-Endpunkts

Das folgende Beispiel zeigt, wie derReporting-Endpoints-Response-Header in Verbindung mit demContent-Security-Policy-Header verwendet wird, um anzugeben, wohin CSP-Verletzungsberichte gesendet werden:

Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports"Content-Security-Policy: default-src 'self'; report-to csp-endpoint

Festlegen mehrerer Berichts-Endpunkte

Es ist möglich, mehrere Endpunkte anzugeben, die für verschiedene Arten von Verletzungsberichten verwendet werden können.

Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports",                     permissions-endpoint="https://example.com/permissions-policy-reports"

Spezifikationen

Browser-Kompatibilität

Siehe auch

• Reporting API
• Content Security Policy (CSP) Leitfaden
• Content-Security-Policy Header
• report-to Direktive