Report-To header
Deprecated: This feature is no longer recommended. Though some browsers might still support it, it may have already been removed from the relevant web standards, may be in the process of being dropped, or may only be kept for compatibility purposes. Avoid using it, and update existing code if possible; see the compatibility table at the bottom of this page to guide your decision. Be aware that this feature may cease to work at any time.
Non-standard: This feature is not standardized. We do not recommend using non-standard features in production, as they have limited browser support, and may change or be removed. However, they can be a suitable alternative in specific cases where no standard option exists.
Warning:
Tiêu đề này đã được thay thế bởi tiêu đề phản hồi HTTP Reporting-Endpoints.
Đây là một phần không còn được dùng của phiên bản đặc tả Reporting API trước đó.
Tiêu đề HTTP Report-To response header cho phép quản trị viên trang web xác định các nhóm endpoint được đặt tên có thể được dùng làm đích cho các báo cáo cảnh báo và lỗi, chẳng hạn như báo cáo vi phạm CSP, báo cáo Cross-Origin-Opener-Policy, báo cáo không dùng nữa, hoặc các vi phạm chung khác.
Report-To thường được dùng kết hợp với các tiêu đề khác để chọn một nhóm endpoint cho một loại báo cáo cụ thể.
Ví dụ, chỉ thị report-to của tiêu đề Content-Security-Policy có thể được dùng để chọn nhóm dùng để báo cáo vi phạm CSP.
| Loại tiêu đề | Response header |
|---|---|
| CORS-safelisted response header | Không |
Cú pháp
Report-To: <json-field-value>
<json-field-value>-
Một hoặc nhiều định nghĩa nhóm endpoint, được định nghĩa là mảng JSON bỏ qua các ký tự
[và]bao quanh. Mỗi đối tượng trong mảng có các thành phần sau:
Ví dụ
Đặt endpoint báo cáo vi phạm CSP
Ví dụ này cho thấy cách máy chủ có thể dùng Report-To để xác định một nhóm endpoint, sau đó đặt nhóm đó làm vị trí gửi báo cáo vi phạm CSP.
Trước tiên, máy chủ có thể gửi phản hồi với tiêu đề HTTP Report-To như dưới đây.
Điều này chỉ định một nhóm các endpoint url được xác định bằng tên nhóm csp-endpoints.
Report-To: { "group": "csp-endpoints",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/reports" },
{ "url": "https://backup.com/reports" }
] }
Máy chủ có thể chỉ định rằng nó muốn nhóm này là mục tiêu gửi báo cáo vi phạm CSP bằng cách đặt tên nhóm làm giá trị của chỉ thị report-to:
Content-Security-Policy: script-src https://example.com/; report-to csp-endpoints
Với các tiêu đề trên, bất kỳ vi phạm CSP nào đối với script-src sẽ dẫn đến việc gửi báo cáo vi phạm đến cả hai giá trị url được liệt kê trong Report-To.
Chỉ định nhiều nhóm báo cáo
Ví dụ dưới đây minh họa tiêu đề Report-To chỉ định nhiều nhóm endpoint.
Lưu ý rằng mỗi nhóm có tên duy nhất, và các nhóm không bị giới hạn bởi các ký tự mảng.
Report-To: { "group": "csp-endpoint-1",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/csp-reports" }
] },
{ "group": "hpkp-endpoint",
"max_age": 10886400,
"endpoints": [
{ "url": "https://example.com/hpkp-reports" }
] }
Chúng ta có thể chọn một nhóm endpoint làm mục tiêu cho báo cáo vi phạm theo tên, giống như đã làm trong ví dụ trước:
Content-Security-Policy: script-src https://example.com/; report-to csp-endpoint-1
Thông số kỹ thuật
Tiêu đề này không còn là một phần của bất kỳ thông số kỹ thuật nào. Trước đây nó là một phần của Reporting API.
Khả năng tương thích trình duyệt
Xem thêm
- Reporting API và tiêu đề
Reporting-Endpoints - Chỉ thị CSP
report-to - Các tiêu đề
Content-Security-Policy,Content-Security-Policy-Report-Only - Hướng dẫn Content Security Policy (CSP)