Ta strona została przetłumaczona przez Cloud Translation API.

Monitorowanie aplikacji internetowej za pomocą interfejsu API do raportowania

Korzystaj z interfejsu Reporting API, aby monitorować naruszenia zabezpieczeń, wycofane wywołania interfejsu API i inne kwestie.

Maud Nalpas

Niektóre błędy występują tylko w wersji produkcyjnej. Nie zobaczysz ich lokalnie ani podczas rozwoju, ponieważ prawdziwi użytkownicy, prawdziwe sieci i prawdziwe urządzenia zmieniają grę. Interfejs Reporting API pomaga wykrywać niektóre z tych błędów, np. naruszenia bezpieczeństwa lub wycofane i wkrótce wycofywane wywołania interfejsu API w witrynie, a następnie przesyła je do określonego punktu końcowego.

Umożliwia ona deklarowanie tego, co chcesz monitorować za pomocą nagłówków HTTP, i jest obsługiwana przez przeglądarkę.

Skonfigurowanie interfejsu Reporting API zapewni Ci spokój ducha, ponieważ gdy użytkownicy napotkają tego typu błędy, będziesz o tym wiedzieć i będziesz mógł je naprawić.

Z tego posta dowiesz się, do czego służy ten interfejs API i jak z niego korzystać. Zaczynamy.

Wersja demonstracyjna i kod

Interfejs Reporting API działa od wersji Chrome 96 i nowszych (od października 2021 r. w przypadku wersji beta lub Canary).

Omówienie

Schemat podsumowujący czynności opisane poniżej, od wygenerowania raportu do uzyskania przez dewelopera dostępu do raportu — Jak są generowane i wysyłane raporty.

Załóżmy, że Twoja witryna site.example ma nagłówek Content-Security-Policy i Document-Policy. Nie wiesz, do czego służą te opcje? To nie problem, nadal możesz zrozumieć ten przykład.

decydujesz się monitorować swoją witrynę, aby wiedzieć, kiedy te zasady są naruszane, ale też dlatego, że chcesz mieć oko na wycofane lub wkrótce wycofywane interfejsy API, z których korzysta kod Twojej witryny.

Aby to zrobić, skonfiguruj nagłówek Reporting-Endpoints i w razie potrzeby mapuj nazwy punktów końcowych za pomocą dyrektywy report-to w swoich zasadach.

Reporting-Endpoints: main-endpoint="https://reports.example/main", default="https://reports.example/default"

# Content-Security-Policy violations and Document-Policy violations
# will be sent to main-endpoint
Content-Security-Policy: script-src 'self'; object-src 'none'; report-to main-endpoint;
Document-Policy: document-write=?0; report-to=main-endpoint;
# Deprecation reports don't need an explicit endpoint because
# these reports are always sent to the `default` endpoint

Wystąpiło coś nieoczekiwanego i zasady zostały naruszone przez niektórych użytkowników.

Przykłady naruszeń

index.html

<script src="script.js"></script>
<!-- CSP VIOLATION: Try to load a script that's forbidden as per the Content-Security-Policy -->
<script src="https://example.com/script.js"></script>

script.js, wczytano przez index.html

// DOCUMENT-POLICY VIOLATION: Attempt to use document.write despite the document policy
try {
  document.write('<h1>hi</h1>');
} catch (e) {
  console.log(e);
}
// DEPRECATION: Call a deprecated API
const webkitStorageInfo = window.webkitStorageInfo;

Przeglądarka generuje raport o naruszeniu zasad CSP, raport o naruszeniu zasad dotyczących dokumentu i raport o wycofaniu, które zawierają te problemy.

Po krótkim opóźnieniu (do minuty) przeglądarka wysyła raporty do punktu końcowego skonfigurowanego dla tego typu naruszenia. Raporty są wysyłane poza pasmem przez samą przeglądarkę (nie przez Twój serwer ani witrynę).

Punkty końcowe, które otrzymują te raporty.

Możesz teraz uzyskać dostęp do raportów dotyczących tych punktów końcowych i sprawdzić, co poszło nie tak. Możesz zacząć rozwiązywać problem, który dotyczy użytkowników.

Przykładowy raport

{
  "age": 2,
  "body": {
    "blockedURL": "https://site2.example/script.js",
    "disposition": "enforce",
    "documentURL": "https://site.example",
    "effectiveDirective": "script-src-elem",
    "originalPolicy": "script-src 'self'; object-src 'none'; report-to main-endpoint;",
    "referrer": "https://site.example",
    "sample": "",
    "statusCode": 200
  },
  "type": "csp-violation",
  "url": "https://site.example",
  "user_agent": "Mozilla/5.0... Chrome/92.0.4504.0"
}

Przypadki użycia i typy raportów

Interfejs Reporting API można skonfigurować tak, aby pomagał w monitorowaniu wielu rodzajów ostrzeżeń i problemów występujących w Twojej witrynie:

Typ raportu	Przykład sytuacji, w której wygenerowany zostanie raport
Naruszenie zasad CSP (tylko poziom 3)	Na jednej ze stron ustawiono `Content-Security-Policy` (CSP), ale strona próbuje wczytać skrypt, który nie jest dozwolony przez CSP.
Naruszenie zasad COOP	Na stronie masz ustawiony element `Cross-Origin-Opener-Policy`, ale okno z innej domeny próbuje bezpośrednio wchodzić w interakcję z dokumentem.
Naruszenie zasad COEP	Na stronie ustawiono `Cross-Origin-Embedder-Policy`, ale dokument zawiera element iframe z innej domeny, który nie został skonfigurowany do ładowania przez dokumenty z innych domen.
Naruszenie zasad dotyczących dokumentów	Strona ma zasadę dokumentu, która uniemożliwia używanie `document.write`, ale skrypt próbuje wywołać `document.write`.
Naruszenie zasad dotyczących uprawnień	Strona ma zasady dotyczące uprawnień, które uniemożliwiają korzystanie z mikrofonu, oraz skrypt, który wymaga podania danych wejściowych w postaci dźwięku.
Ostrzeżenie o wycofaniu	Strona korzysta z interfejsu API, który został wycofany lub zostanie wycofany. Wywołuje go bezpośrednio lub za pomocą skryptu zewnętrznego najwyższego poziomu.
interwencji;	Strona próbuje wykonać działanie, którego przeglądarka nie obsługuje ze względu na bezpieczeństwo, wydajność lub wygodę użytkownika. Przykład w Chrome: strona używa `document.write` w wolnych sieciach lub wywołuje `navigator.vibrate` w ramce międzyusługowej, z którą użytkownik jeszcze nie miał styczności.
Wypadek	przeglądarka ulega awarii, gdy Twoja witryna jest otwarta;

Raporty

Jak wyglądają raporty?

Przeglądarka wysyła raporty do skonfigurowanego punktu końcowego. Wysyła ona żądania o takim kształcie:

POST
Content-Type: application/reports+json

Dane tych żądań to lista raportów.

Przykładowa lista raportów

[
  {
    "age": 420,
    "body": {
      "columnNumber": 12,
      "disposition": "enforce",
      "lineNumber": 11,
      "message": "Document policy violation: document-write is not allowed in this document.",
      "policyId": "document-write",
      "sourceFile": "https://site.example/script.js"
    },
    "type": "document-policy-violation",
    "url": "https://site.example/",
    "user_agent": "Mozilla/5.0... Chrome/92.0.4504.0"
  },
  {
    "age": 510,
    "body": {
      "blockedURL": "https://site.example/img.jpg",
      "destination": "image",
      "disposition": "enforce",
      "type": "corp"
    },
    "type": "coep",
    "url": "https://dummy.example/",
    "user_agent": "Mozilla/5.0... Chrome/92.0.4504.0"
  }
]

Oto dane, które znajdziesz w każdym z tych raportów:

Pole	Opis
`age`	Liczba milisekund między sygnaturą czasową raportu a obecną godziną.
`body`	Dane raportu w postaci ciągu tekstowego w formacie JSON. Pola zawarte w sekcji `body` raportu są określane przez jego `type`. ⚠️ Raporty różnych typów mają różne treści. Aby zobaczyć dokładną treść każdego typu raportu, otwórz demo punktu końcowego raportowania i postępuj zgodnie z instrukcjami, aby wygenerować przykładowe raporty.
`type`	Typ raportu, np. `csp-violation` lub `coep`.
`url`	Adres dokumentu lub pracownika, z którego wygenerowano raport. Dane wrażliwe, takie jak nazwa użytkownika, hasło i fragment, są usuwane z tego adresu URL.
`user_agent`	Nagłówek `User-Agent` żądania, na podstawie którego został wygenerowany raport.

Raporty z uprawnieniami

Punkty końcowe raportowania, które mają ten sam origin co strona generująca raport, otrzymują w żądaniach zawierających raporty dane logowania (pliki cookie).

Dane logowania mogą dostarczyć przydatnych dodatkowych informacji o raporcie, np. czy konto danego użytkownika wywołuje błędy w ciągły sposób, czy też pewna sekwencja działań podejmowanych na innych stronach powoduje raportowanie tej strony.

Kiedy i jak przeglądarka wysyła raporty?

Raporty są dostarczane poza Twoją witryną: przeglądarka decyduje, kiedy są wysyłane do skonfigurowanych punktów końcowych. Nie ma też możliwości kontrolowania, kiedy przeglądarka wysyła raporty. Przechwytuje je, umieszcza w kole i wysyła automatycznie w odpowiednim momencie.

Oznacza to, że podczas korzystania z interfejsu Reporting API nie ma potrzeby martwić się wydajnością.

Raporty są wysyłane z opóźnieniem (do minuty), aby zwiększyć prawdopodobieństwo wysyłania ich partiami. Pozwala to oszczędzać przepustowość, aby nie obciążać połączenia użytkownika, co jest szczególnie ważne w przypadku urządzeń mobilnych. Przeglądarka może też opóźnić dostarczenie, jeśli jest zajęta przetwarzaniem zadań o wyższym priorytecie lub jeśli użytkownik korzysta w danym momencie z wolnej lub zatłoczonej sieci.

Problemy z plikami cookie innych firm i własnymi plikami cookie

Raporty generowane z powodu naruszeń lub wycofania się na Twojej stronie będą wysyłane do skonfigurowanych punktów końcowych. Dotyczy to naruszeń popełnionych przez skrypty innych firm działające na Twojej stronie.

Naruszenia lub wycofania, które miały miejsce w ramce iframe z innego źródła osadzonego na Twojej stronie, nie będą zgłaszane do punktów końcowych (przynajmniej domyślnie). Frame iframe może skonfigurować własne raportowanie, a nawet przesyłać raporty do usługi raportowania witryny, czyli do usługi źródeł własnych. To zależy od witryny w ramce. Pamiętaj też, że większość raportów jest generowana tylko wtedy, gdy występuje naruszenie zasad strony, a zasady strony i ramki iframe są różne.

Przykład z wycofanymi funkcjami

Jeśli na stronie masz skonfigurowany nagłówek Reporting-Endpoints: interfejsy API wycofane, wywoływane przez skrypty innych firm działające na stronie, będą zgłaszane do punktu końcowego. Interfejsy API wycofane z użycia wywoływane przez tag iframe umieszczony na stronie nie będą zgłaszane do punktu końcowego. Raport o wycofaniu zostanie wygenerowany tylko wtedy, gdy serwer iframe ma skonfigurowane punkty końcowe raportowania. Raport zostanie wysłany do punktu końcowego skonfigurowanego przez serwer iframe. — Jeśli na stronie masz skonfigurowaną nagłówek Reporting-Endpoints: interfejsy API wycofane, wywoływane przez skrypty innych firm działające na stronie, będą zgłaszane do punktu końcowego. Interfejsy API wycofane z użycia wywoływane przez tag iframe umieszczony na stronie nie będą zgłaszane do punktu końcowego. Raport o wycofaniu zostanie wygenerowany tylko wtedy, gdy serwer iframe ma skonfigurowane punkty końcowe raportowania. Raport zostanie wysłany do punktu końcowego skonfigurowanego przez serwer iframe.

Obsługa przeglądarek

Tabela poniżej zawiera informacje o obsłudze przeglądarek w przypadku interfejsu Reporting API w wersji 1, czyli z nagłówkiem Reporting-Endpoints. Obsługa interfejsu Reporting API w wersji 0 (nagłówek Report-To) w przeglądarce jest taka sama, z wyjątkiem jednego typu raportu: nowy interfejs Reporting API nie obsługuje rejestrowania błędów sieci. Szczegółowe informacje znajdziesz w przewodniku po migracji.

Typ raportu	Chrome	Chrome na iOS	Safari	Firefox	Edge
Naruszenie zasad CSP (tylko poziom 3)*	✔ Tak	✔ Tak	✔ Tak	✘ Nie	✔ Tak
Rejestrowanie błędów sieci	✘ Nie	✘ Nie	✘ Nie	✘ Nie	✘ Nie
Naruszenie zasad COOP/COEP	✔ Tak	✘ Nie	✔ Tak	✘ Nie	✔ Tak
Wszystkie inne typy: naruszenie zasad dotyczących dokumentów, wycofanie, interwencja, awaria.	✔ Tak	✘ Nie	✘ Nie	✘ Nie	✔ Tak

Ta tabela zawiera tylko podsumowanie obsługi report-to z nowym nagłówkiem Reporting-Endpoints. Jeśli chcesz przenieść się do Reporting-Endpoints, przeczytaj wskazówki dotyczące migracji raportów CSP.

Korzystanie z interfejsu Reporting API

Wybór miejsca wysyłania raportów

Masz 2 możliwości:

Wysyłanie raportów do istniejącej usługi zbierania raportów.
Wysyłanie raportów do kolektora raportów, który został utworzony i utrzymywany przez Ciebie.

Opcja 1. Użyj istniejącej usługi zbierania raportów

Przykłady usług zbierania raportów:

Jeśli znasz inne rozwiązania, otwórz zgłoszenie, aby nas o tym poinformować. Zaktualizujemy ten wpis.

Podczas wybierania zbieracza raportów weź pod uwagę te kwestie: 🧐

Czy ten kolektor obsługuje wszystkie typy raportów? Na przykład nie wszystkie rozwiązania do raportowania obsługują raporty COOP/COEP.
Czy zgadzasz się na udostępnianie adresów URL aplikacji zewnętrznemu systemowi zbierania raportów? Nawet jeśli przeglądarka usunie poufne informacje z tych adresów URL, mogą one zostać w ten sposób ujawnione. Jeśli to zbyt ryzykowne dla Twojej aplikacji, uruchom własny punkt końcowy raportowania.

Opcja 2. Utwórz i używaj własnego zbieracza raportów

Stworzenie własnego serwera, który będzie otrzymywać raporty, nie jest takie proste. Na początek możesz użyć naszego lekkiego szablonu. Jest ono oparte na Express i może odbierać oraz wyświetlać raporty.

Otwórz szablonowy program do zbierania raportów.
Kliknij Remixuj do edycji, aby umożliwić edycję projektu.
Masz już klon! Możesz go dostosować do własnych potrzeb.

Jeśli nie używasz szablonu i tworzysz własny serwer od podstaw:

Aby rozpoznać żądania wysyłane przez przeglądarkę do punktu końcowego, sprawdź żądania POST z wartością Content-Type równą application/reports+json.
Jeśli punkt końcowy znajduje się w innej domenie niż Twoja witryna, upewnij się, że obsługuje żądania wstępne CORS.

Opcja 3. Połącz opcje 1 i 2

Możesz zlecić konkretnemu dostawcy obsługę niektórych typów raportów, ale mieć własne rozwiązanie na potrzeby innych.

W tym przypadku ustaw wiele punktów końcowych w ten sposób:

Reporting-Endpoints: endpoint-1="https://reports-collector.example", endpoint-2="https://my-custom-endpoint.example"

Konfigurowanie nagłówka `Reporting-Endpoints`

Ustaw nagłówek odpowiedzi Reporting-Endpoints. Jego wartość musi być jedną lub wieloma rozdzielonymi przecinkami parami klucz-wartość:

Reporting-Endpoints: main-endpoint="https://reports.example/main", default="https://reports.example/default"

Jeśli przechodzisz ze starszego interfejsu Reporting API na nowy interfejs Reporting API, warto ustawić zarówno Reporting-Endpoints, jak i Report-To. Szczegółowe informacje znajdziesz w przewodniku po migracji. Jeśli raportujesz naruszenia zasad Content-Security-Policy tylko za pomocą dyrektywy report-uri, zapoznaj się z instrukcjami migracji raportowania CSP.

Reporting-Endpoints: main-endpoint="https://reports.example/main", default="https://reports.example/default"
Report-To: ...

Klucze (nazwy punktów końcowych)

Każdy klucz może mieć dowolną nazwę, np. main-endpoint lub endpoint-1. Możesz ustawić różne nazwane punkty końcowe dla różnych typów raportów, np. my-coop-endpoint i my-csp-endpoint. Dzięki temu możesz kierować raporty do różnych punktów końcowych w zależności od ich typu.

Jeśli chcesz otrzymywać interwencje, wycofania lub awarie, skonfiguruj punkt końcowy o nazwie default.

Jeśli nagłówek Reporting-Endpoints nie definiuje punktu końcowego default, raporty tego typu nie będą wysyłane (chociaż będą generowane).

Ważna informacja: pomimo swojej nazwy default nie jest punktem końcowym zapasowym. Jeśli na przykład skonfigurujesz report-to my-endpoint dla Document-Policy, ale pominiesz zdefiniowanie my-endpoint w Reporting-Endpoints, raporty o naruszeniach Document-Policy będą generowane, ale nie będą wysyłane, ponieważ przeglądarka nie będzie wiedzieć, gdzie je wysłać.

Wartości (adresy URL)

Każda wartość to wybrany przez Ciebie adres URL, pod który będą wysyłane raporty. Adres URL, który tutaj ustawisz, zależy od tego, co wybierzesz w kroku 1.

Adres URL punktu końcowego:

Musi zaczynać się od ukośnika (/). Ścieżki względne nie są obsługiwane.
Może być z innego źródła, ale w takim przypadku dane logowania nie są wysyłane wraz z raportami.

Przykłady

Reporting-Endpoints: my-coop-endpoint="https://reports.example/coop", my-csp-endpoint="https://reports.example/csp", default="https://reports.example/default"

Możesz wtedy używać każdego nazwanego punktu końcowego w odpowiedniej polityce lub jednego punktu końcowego we wszystkich zasadach.

Gdzie ustawić nagłówek?

W nowym interfejsie Reporting API, który jest tematem tego artykułu, raporty są ograniczone do dokumentów. Oznacza to, że w przypadku jednego źródła różne dokumenty, takie jak site.example/page1 i site.example/page2, mogą wysyłać raporty do różnych punktów końcowych.

Aby otrzymywać raporty o naruszeniach lub wycofaniu się na dowolnej stronie witryny, ustaw nagłówek jako oprogramowanie pośredniczące we wszystkich odpowiedziach.

Oto przykład w Express:

const REPORTING_ENDPOINT_BASE = 'https://report.example';
const REPORTING_ENDPOINT_MAIN = `${REPORTING_ENDPOINT_BASE}/main`;
const REPORTING_ENDPOINT_DEFAULT = `${REPORTING_ENDPOINT_BASE}/default`;

app.use(function (request, response, next) {
  // Set up the Reporting API
  response.set(
    'Reporting-Endpoints',
    `main-endpoint="${REPORTING_ENDPOINT_MAIN}", default="${REPORTING_ENDPOINT_DEFAULT}"`,
  );
  next();
});

Uwaga: to coś innego niż starsza wersja interfejsu Reporting API (nagłówek Report-To), w której można było ustawić „okolicznościowy” punkt końcowy dla jednej strony i automatycznie uzyskiwać raporty dotyczące dowolnej strony w tym samym źródle. Jeśli przechodzisz ze starszego interfejsu Reporting API do nowego interfejsu Reporting API, przeczytaj przewodnik po migracji.

Edytowanie zasad

Po skonfigurowaniu nagłówka Reporting-Endpoints dodaj do każdego nagłówka reguły do dyrektywy report-to, jeśli chcesz otrzymywać raporty o naruszeniach. Wartość report-to powinna być jedną z nazwanych przez Ciebie nazwanych końcówek.

Możesz użyć tego samego punktu końcowego dla wielu zasad lub używać różnych punktów końcowych w różnych zasadach.

W przypadku każdej zasady wartość parametru report-to powinna być jednym z skonfigurowanych przez Ciebie nazwanych punktów końcowych.

report-to nie jest wymagany w przypadku raportów o wycofaniu, interwencji i awarii. Te raporty nie są powiązane z żadnymi zasadami. Są one generowane, o ile tylko masz skonfigurowany punkt końcowy default i są wysyłane do tego punktu końcowego default.

Przykład

# Content-Security-Policy violations and Document-Policy violations
# will be sent to main-endpoint
Content-Security-Policy: script-src 'self'; object-src 'none'; report-to main-endpoint;
Document-Policy: document-write=?0;report-to=main-endpoint;
# Deprecation reports don't need an explicit endpoint because
# these reports are always sent to the default endpoint

Ostrzeżenie: poprawne użycie składni report-to może być trudne, ponieważ nie wszystkie zasady używają tej samej struktury nagłówka. W zależności od zasad prawidłowa składnia może być report-to=main-endpoint lub report-to main-endpoint. Przykłady kodu znajdziesz w prezentacji.

Przykładowy kod

Poniżej znajdziesz przykładowy serwer Node, który korzysta z Express i łączy wszystkie elementy omówione w tym artykule. Pokazuje on, jak skonfigurować raportowanie dla kilku różnych typów raportów i jak wyświetlić wyniki.

Debugowanie konfiguracji raportowania

celowe generowanie raportów;

Podczas konfigurowania interfejsu API raportowania prawdopodobnie będziesz musiał celowo naruszyć swoje zasady, aby sprawdzić, czy raporty są generowane i wysyłane zgodnie z oczekiwaniami. Aby zobaczyć przykładowy kod, który narusza zasady i wywołuje inne nieprawidłowości, które spowodują wygenerowanie raportów wszystkich typów, obejrzyj prezentację.

Oszczędzaj czas

Raporty mogą być wysyłane z opóźnieniem – około minuty, co jest długim czasem podczas debugowania. 😴 Na szczęście podczas debugowania w Chrome możesz użyć flagi --short-reporting-delay, aby otrzymywać raporty zaraz po ich wygenerowaniu.

Aby włączyć tę flagę, uruchom w terminalu to polecenie:

YOUR_PATH/TO/EXECUTABLE/Chrome --short-reporting-delay

Korzystanie z Narzędzi deweloperskich

W Chrome możesz wyświetlić w Narzędziach dla deweloperów raporty, które zostały lub zostaną wysłane.

W październiku 2021 r. ta funkcja była w wersji eksperymentalnej. Aby z niej korzystać, wykonaj te czynności:

Używaj Chrome w wersji 96 lub nowszej (sprawdź to, wpisując chrome://version w przeglądarce).
Wpisz lub wklej chrome://flags/#enable-experimental-web-platform-features na pasku adresu w Chrome.
Kliknij Włączono.
Ponownie uruchom przeglądarkę.
Otwórz Narzędzia deweloperskie w Chrome.
W Narzędziach deweloperskich w Chrome otwórz Ustawienia. W sekcji Eksperymenty kliknij Włącz panel interfejsu Reporting API w panelu Aplikacja.
Załaduj ponownie Narzędzia deweloperskie.
Załaduj ponownie stronę. Raporty wygenerowane przez stronę, w której są otwarte Narzędzia deweloperskie, będą widoczne w panelu Aplikacja w Narzędziach deweloperskich w Chrome, w sekcji Interfejs Reporting API.

Zrzut ekranu pokazujący listę raportów w Narzędziach deweloperskich — Narzędzia deweloperskie w Chrome wyświetlają raporty wygenerowane na stronie oraz ich stan.

Stan raportu

Kolumna Stan informuje, czy raport został wysłany.

Stan	Opis
`Success`	przeglądarka wysłała raport, a punkt końcowy odpowiedział kodem powodzenia (`200` lub innym kodem odpowiedzi powodzenia `2xx`);
`Pending`	Przeglądarka próbuje obecnie wysłać raport.
`Queued`	Raport został wygenerowany i przeglądarka nie próbuje go wysyłać. Raport jest wyświetlany jako `Queued` w jednym z tych 2 przypadków: Raport jest nowy, a przeglądarka czeka na więcej raportów, zanim spróbuje go wysłać. Raport nie jest nowy. Przeglądarka próbowała już go wysłać, ale się nie udało, więc czeka na kolejną próbę.
`MarkedForRemoval`	Po kilku próbach (`Queued`) przeglądarka przestała próbować wysłać raport i wkrótce usunie go z listy raportów do wysłania.

Raporty są usuwane po pewnym czasie, niezależnie od tego, czy zostały wysłane.

Ważna informacja: stan Queued nie zawsze jest przydatny, ponieważ nie wskazuje dokładnie, czy wysyłanie się nie powiodło, czy też nie zostało jeszcze podjęte. Korzystanie z krótkich opóźnień raportowania jest przydatne: raport, który pozostaje w stanie Queued, prawdopodobnie wskazuje, że wysyłanie nie powiodło się.

Rozwiązywanie problemów

Czy raporty nie są tworzone lub wysyłane do Twojego punktu końcowego zgodnie z oczekiwaniami? Oto kilka wskazówek, które pomogą Ci rozwiązać ten problem.

Raporty nie są generowane

Raporty wyświetlane w Narzędziach deweloperskich zostały wygenerowane prawidłowo. Jeśli raport, którego oczekujesz, nie jest widoczny na tej liście:

Sprawdź report-to w swoich zasadach. Jeśli konfiguracja jest nieprawidłowa, raport nie zostanie wygenerowany. Aby to zrobić, przejdź do sekcji Edytuj zasady. Dodatkowym sposobem na rozwiązanie tego problemu jest sprawdzenie konsoli Narzędzi deweloperskich w Chrome: jeśli w konsoli pojawi się błąd związany z oczekiwanym naruszeniem, oznacza to, że zasady są prawdopodobnie prawidłowo skonfigurowane.
Pamiętaj, że na tej liście będą widoczne tylko raporty wygenerowane dla otwartego w DevTools dokumentu. Przykład: jeśli Twoja witryna site1.example zawiera element iframe site2.example, który narusza zasady i generuje raport, ten raport pojawi się w Narzędziach dla programistów tylko wtedy, gdy otworzysz iframe w oddzielnym oknie i otworzysz Narzędzia dla programistów w tym oknie.

Raporty są generowane, ale nie są wysyłane ani odbierane

Co zrobić, jeśli widzisz raport w Narzędziach dla programistów, ale Twoje urządzenie końcowe go nie otrzymuje?

Ważne: raport jest wysyłany przez samą przeglądarkę, a nie przez konkretną witrynę, dlatego żądania POST zawierające raporty nie są wyświetlane w panelu Sieć w narzędziach dla deweloperów.

Używaj krótkich opóźnień. Być może nie widzisz raportu, ponieważ nie został on jeszcze wysłany.
Sprawdź konfigurację nagłówka Reporting-Endpoints. Jeśli wystąpi problem, raport, który został wygenerowany prawidłowo, nie zostanie wysłany. W tym przypadku stan zgłoszenia w Narzędziach dla programistów pozostanieQueued (może się ono zmienić na Pending, a potem szybko znów na Queued, gdy zostanie podjęta próba dostarczenia). Oto kilka typowych błędów, które mogą to powodować:
Punkt końcowy jest używany, ale nie jest skonfigurowany. Przykład:

Kod z błędem

 Document-Policy: document-write=?0;report-to=endpoint-1;
 Reporting-Endpoints: default="https://reports.example/default"

Zgłoszenia naruszeń zasad dotyczących dokumentów powinny być wysyłane na adres endpoint-1, ale ta nazwa punktu końcowego nie jest skonfigurowana w Reporting-Endpoints.

Brak punktu końcowego default. Niektóre typy raportów, np. raporty o wycofaniu i interwencji, będą wysyłane tylko do punktu końcowego o nazwie default. Więcej informacji znajdziesz w artykule Konfigurowanie nagłówka Reporting-Endpoints.
Sprawdź składnię nagłówków zasad pod kątem problemów, np. brakujących cudzysłowów. Zobacz szczegóły

Sprawdź, czy punkt końcowy może obsługiwać przychodzące żądania.

Upewnij się, że punkt końcowy obsługuje żądania wstępne CORS. Jeśli nie, nie będzie ono otrzymywać raportów.
Przetestuj zachowanie punktu końcowego. Zamiast ręcznego generowania raportów możesz emulować przeglądarkę, wysyłając do punktu końcowego żądania, które wyglądają tak samo jak te wysyłane przez przeglądarkę. Wykonaj zapytanie:

curl --header "Content-Type: application/reports+json" \
  --request POST \
  --data '[{"age":420,"body":{"columnNumber":12,"disposition":"enforce","lineNumber":11,"message":"Document policy violation: document-write is not allowed in this document.","policyId":"document-write","sourceFile":"https://dummy.example/script.js"},"type":"document-policy-violation","url":"https://dummy.example/","user_agent":"xxx"},{"age":510,"body":{"blockedURL":"https://dummy.example/img.jpg","destination":"image","disposition":"enforce","type":"corp"},"type":"coep","url":"https://dummy.example/","user_agent":"xxx"}]' \
  YOUR_ENDPOINT

Punkt końcowy powinien zwrócić kod powodzenia (200 lub inny kod odpowiedzi powodzenia 2xx). Jeśli tego nie zrobi, oznacza to, że wystąpił problem z jego konfiguracją.

Powiązane mechanizmy zgłaszania

Tylko raporty

Nagłówki zasad -Report-Only i Reporting-Endpoints działają razem.

Punkty końcowe skonfigurowane w Reporting-Endpoints i wyszczególnione w polu report-to w Content-Security-Policy, Cross-Origin-Embedder-Policy i Cross-Origin-Opener-Policy będą otrzymywać raporty o naruszeniu tych zasad.

Punkty końcowe skonfigurowane w Reporting-Endpoints można też określić w polu report-to w Content-Security-Policy-Report-Only, Cross-Origin-Embedder-Policy-Report-Only i Cross-Origin-Opener-Policy-Report-Only. Otrzymają oni też raporty o naruszeniu tych zasad.

W obu przypadkach wysyłane są raporty, ale nagłówki -Report-Only nie powodują egzekwowania zasad: nic się nie zepsuje ani nie zostanie zablokowane, ale otrzymasz raporty o tym, co byłoby zepsute lub zablokowane.

Uwaga: jeśli używasz nagłówka -Report-Only i masz skonfigurowane punkty końcowe raportowania za pomocą starszego nagłówka Report-To, zmień je na Reporting-Endpoints, jeśli to możliwe. Więcej informacji znajdziesz w przewodniku po migracji.

`ReportingObserver`

Interfejs ReportingObserver JavaScript API może pomóc w obserwowaniu ostrzeżeń po stronie klienta.

Nagłówki ReportingObserver i Reporting-Endpoints generują raporty, które wyglądają tak samo, ale umożliwiają nieco inne zastosowania.

Użyj ReportingObserver, jeśli:

Chcesz monitorować tylko wycofania lub interwencje w przeglądarce. ReportingObserver wyświetla ostrzeżenia po stronie klienta, np. o wycofaniach i interwencjach w przeglądarce, ale w odróżnieniu od Reporting-Endpoints nie obejmuje innych typów raportów, np. o naruszeniu zasad CSP lub zasad COOP/COEP.
Musisz reagować na te naruszenia w czasie rzeczywistym. ReportingObserver umożliwia dołączenie wywołania zwrotnego do zdarzenia naruszenia.
Chcesz dołączyć do raportu dodatkowe informacje, aby ułatwić debugowanie, za pomocą niestandardowej funkcji wywołania zwrotnego.

Kolejna różnica polega na tym, że ReportingObserver jest konfigurowana tylko po stronie klienta: możesz jej używać, nawet jeśli nie masz kontroli nad nagłówkami po stronie serwera i nie możesz ustawić Reporting-Endpoints.

Więcej informacji

Baner powitalny autorstwa Nine Koepfer / @enka80 na Unsplash, zmodyfikowany. Dziękujemy Ianowi Clellandowi, Eiji Kitamurze i Milicy Mihajlija za sprawdzenie i zaproponowane zmiany w tym artykule.