report-urireport-uri 는 CSP 위반이 발생했을 때 브라우저가 위반 리포트(JSON)를 POST 로 전송할 URL 을 지정합니다. 정책을 어긴 리소스·차단된 지시어 정보를 수집해 정책을 튜닝하거나 공격 시도를 모니터링합니다. 이 지시어는 폐기(deprecated)되었고 후속은 report-to 입니다.
브라우저는 위반 시 application/csp-report 형식의 본문을 지정 URL 로 보냅니다. 이는 CSP 를 실서비스에 도입할 때 필수적인 관측 도구입니다. Content-Security-Policy-Report-Only 헤더와 함께 쓰면 정책을 강제하지 않고 위반만 수집해, 실제 차단 없이 정책을 안전하게 검증한 뒤 강제 모드로 승격할 수 있습니다.
report-uri 는 명세상 폐기되었지만 브라우저 지원 범위가 넓어, 현실적으로는 report-to 와 report-uri 를 함께 두는 하위호환 전략이 권장됩니다(구형 브라우저는 report-uri, report-to 를 지원하는 브라우저는 report-to 우선). report-uri 는 default-src 로 폴백되지 않으므로 필요하면 명시적으로 선언해야 합니다.
Content-Security-Policy: default-src 'self'; report-uri https://report.example.com/csp