Dokumentation
CSP Reports — Einrichtungs- und Integrationsanleitung
SiteGuardian enthält einen integrierten Ingest-Endpunkt für Content-Security-Policy-Verstöße und Reporting-API-Events. Richten Sie Ihre CSP darauf aus, und vom Browser gemeldete Verstöße laufen innerhalb von Sekunden in das Dashboard Ihres Monitors ein.
1. An einem Monitor aktivieren
Öffnen Sie auf der Detailseite des Monitors den Tab CSP Reports und klicken Sie auf Aktivieren. Wir erzeugen eine frische HMAC-signierte URL und ein Header-Snippet zum Kopieren.
2. Header einfügen
Das Snippet enthält drei Header. Browser fallen sauber zurück — Sie können alle drei gleichzeitig ausliefern.
nginx
add_header Content-Security-Policy "default-src 'self'; report-uri https://reports.siteguardian.io/r/{monitor_id}/{hmac}; report-to sg-csp" always;
add_header Reporting-Endpoints 'sg-csp="https://reports.siteguardian.io/r/{monitor_id}/{hmac}"' always;
add_header Report-To '{"group":"sg-csp","max_age":10886400,"endpoints":[{"url":"https://reports.siteguardian.io/r/{monitor_id}/{hmac}"}]}' always;Apache
Header always set Content-Security-Policy "default-src 'self'; report-uri https://reports.siteguardian.io/r/{monitor_id}/{hmac}; report-to sg-csp"
Header always set Reporting-Endpoints 'sg-csp="https://reports.siteguardian.io/r/{monitor_id}/{hmac}"'
Header always set Report-To '{"group":"sg-csp","max_age":10886400,"endpoints":[{"url":"https://reports.siteguardian.io/r/{monitor_id}/{hmac}"}]}'Caddy
header {
Content-Security-Policy "default-src 'self'; report-uri https://reports.siteguardian.io/r/{monitor_id}/{hmac}; report-to sg-csp"
Reporting-Endpoints `sg-csp="https://reports.siteguardian.io/r/{monitor_id}/{hmac}"`
Report-To `{"group":"sg-csp","max_age":10886400,"endpoints":[{"url":"https://reports.siteguardian.io/r/{monitor_id}/{hmac}"}]}`
}3. Verifizieren
Laden Sie Ihre Site in einem echten Browser. Innerhalb von Sekunden zeigt der Tab CSP Reports den ersten Bucket. Bleibt der Tab leer, bestätigt es auch unser nächster Header-Scan — ein grünes Badge erscheint, sobald wir in Ihrer CSP unseren Endpunkt erkennen.
Report-Only-Modus
Brandneue CSP? Liefern Sie sie zuerst im Report-Only-Modus aus — es wird nichts tatsächlich blockiert, Verstöße werden aber gemeldet. Tauschen Sie den Header-Namen und behalten Sie die gleichen Direktiven:
Content-Security-Policy-Report-Only: default-src 'self'; report-uri https://reports.siteguardian.io/r/{monitor_id}/{hmac}Was wir speichern — und was nicht
- Client-IPs werden mit einem täglich rotierenden Salt gehasht. Wir behalten nur einen 16-Zeichen-Präfix.
- Query-Strings und Fragmente werden aus jeder URL vor der Speicherung entfernt.
- User-Agent-Strings werden auf eine Familie reduziert (chrome/firefox/safari/edge/opera/other).
- Jeder Bucket behält maximal 3 Rohsamples und 10 betroffene Dokument-URIs.
- Aufbewahrung: 180 Tage (Compliance), 365 Tage (Enterprise). Danach laufen Buckets über einen TTL-Index ab. CSP-Ingest erfordert mindestens den Compliance-Tarif.
Rate-Limits und Auto-Pause
nginx begrenzt am Edge auf 200 Req/s pro Quell-IP. Jeder Monitor hat ein Soft-Limit von 10.000 Reports/Minute; drei aufeinanderfolgende Minuten über dem Limit pausieren den Ingest automatisch für eine Stunde und senden dem Monitor-Eigentümer eine E-Mail. Die Endpunkt-URL lässt sich per Ein-Klick-Notfallschalter im Tab rotieren.
Weitere Report-Typen
Derselbe Endpunkt akzeptiert NEL (Network Error Logging)-, Deprecation-, Intervention- und Expect-CT-Reports aus der Reporting API des Browsers. Keine zusätzliche Einrichtung — fügen Sie sie einfach Ihrer Report-To-Gruppe hinzu.
API-Endpunkte
Programmatischer Zugriff für Dashboards und CI:
POST /api/v1/monitors/{id}/csp-reports/enablePOST /api/v1/monitors/{id}/csp-reports/regeneratePOST /api/v1/monitors/{id}/csp-reports/disableGET /api/v1/monitors/{id}/csp-reports?hours=24GET /api/v1/monitors/{id}/csp-reports/{bucket_id}GET /api/v1/monitors/{id}/csp-reports/trend/hourly?hours=24GET /api/v1/monitors/{id}/csp-reports/recommendations
Bereit loszulegen?
Kostenloses Konto erstellen →