report-toreport-to 는 CSP 위반 리포트를 보낼 대상을 이름(그룹명)으로 지정하는 현대적 리포팅 지시어입니다. 실제 엔드포인트 URL 은 별도의 Reporting-Endpoints(또는 구식 Report-To) HTTP 헤더에서 그 이름에 매핑합니다. 폐기된 report-uri 의 후속입니다.
동작 방식은 report-uri 와 다릅니다. report-to 값은 URL 이 아니라 그룹 이름이며, 예를 들어 응답에 Reporting-Endpoints: csp-endpoint="https://report.example.com/csp" 를 함께 보내고 CSP 에는 report-to csp-endpoint 를 지정합니다. 이 Reporting API 기반 방식은 CSP 뿐 아니라 다른 정책(예: 권한 정책·NEL) 위반 리포트를 통합 인프라로 모을 수 있고, 배치 전송·타임아웃 등 더 풍부한 전달 제어를 제공합니다.
다만 브라우저 지원과 구현 세부(구 Report-To 헤더 vs 신 Reporting-Endpoints 헤더)가 갈리므로, 실무에서는 report-to(신형)와 report-uri(구형)를 함께 선언해 폭넓은 호환을 확보하는 것이 안전합니다. report-to 역시 default-src 로 폴백되지 않습니다.
Content-Security-Policy: default-src 'self'; report-to csp-endpoint