报告端点

实验性: 这是一个 实验性技术
在生产环境中使用此功能前,请仔细查看 浏览器兼容性表格

HTTP Reporting-Endpoints 响应头允许网站管理员指定一个或多个端点,这些端点可以接收由 Reporting API 生成的报告。

例如,这些端点可以作为发送 CSP 违规报告、Cross-Origin-Opener-Policy 报告或其他通用违规报告的目标。

当用于报告 内容安全策略 (CSP) 错误时,此标头与 Content-Security-Policy 标头的 report-to 指令一起使用。有关设置 CSP 报告的更多详细信息,请参阅 内容安全策略 (CSP) 文档。

注意: 此标头替换了用于声明端点的 Report-To 已弃用 ,应优先使用此标头。

标头类型 响应标头
禁止的标头名称
CORS 安全列表响应标头

语法

http
Reporting-Endpoints: <endpoint>
Reporting-Endpoints: <endpoint>, <endpoint>
<endpoint>

格式为 {endpoint-name}="{URL}" 的报告端点。端点必须具有格式为 endpoint-name-"{report-URL}" 的有效 URI 字符串,并且非安全端点将被忽略。可以提供以逗号分隔的端点列表。

示例

设置 CSP 违规报告端点

以下示例演示了如何将 Reporting-Endpoints 响应标头与 Content-Security-Policy 标头结合使用,以指示 CSP 违规报告发送到的位置

http
Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports"
Content-Security-Policy: default-src 'self'; report-to csp-endpoint

指定多个报告端点

可以指定多个端点,这些端点可用于不同类型的违规报告

http
Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports",
                     hpkp-endpoint="https://example.com/hpkp-reports"

规范

规范
Reporting API
# header-field-registration

浏览器兼容性

BCD 表格仅在启用 JavaScript 的浏览器中加载。

另请参阅