Reporting-Endpoints
응답 헤더 Security

개요

Reporting-Endpoints는 Reporting API v1의 설정 헤더로, 리포트 그룹 이름과 그 리포트를 받을 URL을 name="url" 쌍으로 간단히 매핑합니다. CSP·COOP·COEP·Deprecation 리포트 등을 수집할 목적지를 정의하는 현대적·권장 방식입니다.

자세히

문법은 구조화 필드(Structured Field) 사전 형태로, 각 항목이 그룹 이름과 큰따옴표로 감싼 절대 URL의 쌍입니다. 예: Reporting-Endpoints: csp-endpoint="https://example.com/csp", default="https://example.com/reports". CSP의 report-to csp-endpoint처럼 다른 헤더가 이 이름을 참조해 목적지를 찾습니다. JSON을 손으로 조립하던 Report-To보다 오타·파싱 오류가 적습니다.

default 그룹은 특별한 관례로, 명시적 그룹이 지정되지 않은 리포트(브라우저 개입 intervention, 폐기 예정 API deprecation, crash 등)가 이 이름으로 전송됩니다. 따라서 default 하나만 정의해도 다양한 브라우저 리포트를 한 곳에서 수집할 수 있습니다.

URL은 반드시 절대 HTTPS여야 하고, 헤더는 보안 컨텍스트에서만 유효합니다. 리포트는 application/reports+json 형식의 배열로 POST되며, 브라우저가 배치·재시도로 보낼 수 있어 실시간 도착을 가정하면 안 됩니다. 교차 출처 수집 엔드포인트라면 별도의 프리플라이트·CORS 고려가 필요합니다.

문법

Reporting-Endpoints: <name>="<url>"[, <name>="<url>"]*

e.g. Reporting-Endpoints: csp-endpoint="https://example.com/csp", default="https://example.com/reports"

지시어 / 값

<name>="<url>"리포트 그룹 이름과 그 리포트를 POST할 절대 HTTPS URL의 쌍. CSP report-to 등이 이 이름을 참조.
default관례적 기본 그룹 이름. 명시적 그룹이 없는 리포트(deprecation·intervention 등)가 여기로 감.

실무 참고

관련 헤더

관련 상태코드

스펙 근거