报告端点
HTTP Reporting-Endpoints
响应头允许网站管理员指定一个或多个端点,这些端点可以接收由 Reporting API 生成的报告。
例如,这些端点可以作为发送 CSP 违规报告、Cross-Origin-Opener-Policy
报告或其他通用违规报告的目标。
当用于报告 内容安全策略 (CSP) 错误时,此标头与 Content-Security-Policy
标头的 report-to
指令一起使用。有关设置 CSP 报告的更多详细信息,请参阅 内容安全策略 (CSP) 文档。
注意: 此标头替换了用于声明端点的 Report-To
已弃用 ,应优先使用此标头。
标头类型 | 响应标头 |
---|---|
禁止的标头名称 | 否 |
CORS 安全列表响应标头 | 否 |
语法
http
Reporting-Endpoints: <endpoint>
Reporting-Endpoints: <endpoint>, <endpoint>
- <endpoint>
-
格式为
{endpoint-name}="{URL}"
的报告端点。端点必须具有格式为endpoint-name-"{report-URL}"
的有效 URI 字符串,并且非安全端点将被忽略。可以提供以逗号分隔的端点列表。
示例
设置 CSP 违规报告端点
以下示例演示了如何将 Reporting-Endpoints
响应标头与 Content-Security-Policy
标头结合使用,以指示 CSP 违规报告发送到的位置
http
Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports"
Content-Security-Policy: default-src 'self'; report-to csp-endpoint
指定多个报告端点
可以指定多个端点,这些端点可用于不同类型的违规报告
http
Reporting-Endpoints: csp-endpoint="https://example.com/csp-reports",
hpkp-endpoint="https://example.com/hpkp-reports"
规范
规范 |
---|
Reporting API # header-field-registration |
浏览器兼容性
BCD 表格仅在启用 JavaScript 的浏览器中加载。