HTTP Report-To Header

Der HTTP-Header Report-To ist ein Response-Header, der Reporting-Endpoints für Browser-Error-Reports konfiguriert. APIs können damit CSP-Violations, Network-Errors, CORS-Fehler und andere Client-Side-Issues automatisch erfassen und monitoren.

Typ

Response-Header

Syntax

Der Header definiert JSON-konfigurierte Reporting-Gruppen mit Endpoints.

http 
Report-To: {"group":"default","max_age":86400,"endpoints":[{"url":"https://reports.example.com/api"}]}

Direktiven

Die Direktiven definieren Reporting-Gruppen als JSON-Strukturen mit Endpoints.

group
Name der Reporting-Gruppe (z.B. "default", "csp-violations"). Wird von anderen Headers referenziert.
max_age
Gültigkeit der Konfiguration in Sekunden. Browser nutzen Endpoints für diesen Zeitraum.
endpoints
Array von Reporting-Endpoints mit url Eigenschaft. Browser wählen verfügbaren Endpoint für Report-Versand.
include_subdomains
Optional Boolean, ob Policy für alle Subdomains gilt (Standard: false).

Beispiele

Nachfolgend finden Sie praktische Anwendungsbeispiele für den Report-To-Header.

Beispiel 1 Standard Reporting-Endpoint für API

http 
GET /api/data HTTP/1.1
Host: api.example.com

Server konfiguriert Reporting-Endpoint für 24 Stunden.

http 
HTTP/1.1 200 OK
Content-Type: application/json
Report-To: {"group":"default","max_age":86400,"endpoints":[{"url":"https://reports.example.com/api/errors"}]}

{"data": [...]}

Browser sendet Fehlerberichte an konfigurierten Endpoint.

Beispiel 2 Separate Gruppen für CSP und Network Errors

http 
HTTP/1.1 200 OK
Content-Type: text/html
Report-To: {"group":"csp-endpoint","max_age":86400,"endpoints":[{"url":"https://reports.example.com/csp"}]}
Report-To: {"group":"network-errors","max_age":86400,"endpoints":[{"url":"https://reports.example.com/network"}]}
Content-Security-Policy: default-src 'self'; report-to csp-endpoint

<!DOCTYPE html>...

CSP-Violations gehen an separaten Endpoint für dediziertes Monitoring.

Beispiel 3 Fallback-Endpoints für Redundanz

http 
HTTP/1.1 200 OK
Report-To: {"group":"default","max_age":86400,"endpoints":[{"url":"https://primary.example.com/reports"},{"url":"https://backup.example.com/reports"}]}

Browser versucht primären Endpoint, nutzt Backup bei Fehler.

Error Reporting Flow

Browser Error Reporting mit Report-To Header

Vorteile für die Systemarchitektur

Automated Error Reporting ermöglicht proaktives Monitoring von Client-Side-Issues.

  • Proaktives Monitoring: CSP-Violations und CORS-Errors werden automatisch erfasst
  • Keine JavaScript-Overhead: Browser-native Reporting ohne zusätzlichen Client-Code
  • Aggregierte Fehleranalyse: Zentrale Sammlung von Client-Errors für Pattern-Detection

Spezifikation

Reporting API (W3C Working Draft) https://w3c.github.io/reporting/#header

Weitere Spezifikationen

CSP report-to, NEL Header