Reporting API: Sicherheitsverstöße automatisch erkennen
Die Reporting API macht Ihren Browser zum Frühwarnsystem: Report-To und NEL melden CSP-Violations, DNS-Poisoning und TLS-Fehler automatisch an Ihren Server — ganz ohne manuelles Monitoring.
Was ist die Reporting API?
Die Reporting API ermöglicht es Browsern, automatisch Berichte über Fehler und Sicherheitsprobleme an Ihren Server zu senden. Sie funktioniert wie ein automatisches Frühwarnsystem für Ihre Website — CSP-Violations, DNS-Poisoning, TLS-Fehler und veraltete APIs werden erkannt, ohne dass Nutzer sich beschweren müssen. Der Wolf-Agents Web Security Check prüft die korrekte Konfiguration von Report-To, NEL und Reporting-Endpoints.
Die API besteht aus drei Headern: Report-To (Legacy, aber für NEL zwingend), Reporting-Endpoints (moderner Nachfolger) und NEL (Network Error Logging). Zusammen decken sie CSP-Violations, Netzwerkfehler, COOP/COEP-Verstöße und Deprecation-Warnungen ab — gebündelt und automatisch vom Browser zugestellt.
Welche Probleme erkennt die Reporting API?
Chromium-Browser senden automatisch strukturierte JSON-Reports an Ihre Endpoints. Jeder Report-Typ deckt eine andere Bedrohungskategorie ab — von XSS-Versuchen bis zu DNS-Poisoning.
| Report-Typ | Was wird gemeldet | Header |
|---|---|---|
| CSP Violations | Content Security Policy Verstöße (z.B. nicht autorisierte Scripts) | Reporting-Endpoints |
| NEL | DNS-, TLS- und HTTP-Fehler — inklusive MITM-Erkennung | Report-To |
| COOP/COEP | Cross-Origin Policy Violations | Reporting-Endpoints |
| Deprecation | Verwendung veralteter Browser-APIs | Reporting-Endpoints |
| Intervention | Browser-Interventionen bei Performance-Problemen | Reporting-Endpoints |
Report-To vs. Reporting-Endpoints
Es gibt zwei Generationen der Reporting API. Beide setzen Sie in der Praxis parallel ein — Report-To ist zwar deprecated, aber für NEL (Network Error Logging) weiterhin zwingend erforderlich. Reporting-Endpoints ist der moderne Standard für CSP-Violations und alle anderen Report-Typen.
| Aspekt | Report-To (v0) | Reporting-Endpoints (v1) |
|---|---|---|
| NEL-Support | Ja | Nein |
| CSP/COOP/COEP | Ja | Ja |
| Syntax | JSON | Key-Value |
| Scope | Origin | Document |
| Status | Legacy (deprecated) | Modern (W3C Standard) |
Network Error Logging: Netzwerkfehler erkennen
NEL meldet Netzwerkfehler bevor sie Ihre Anwendung erreichen. DNS-Poisoning, TLS-Zertifikatsprobleme und TCP-Timeouts werden automatisch an Ihren Endpoint gesendet. So erkennen Sie Angriffe und Infrastrukturprobleme in Echtzeit — statt durch Nutzer-Beschwerden Stunden später.
| Fehlertyp | Beispiele | Sicherheitsrelevanz |
|---|---|---|
| DNS | dns.unreachable, dns.address_changed | DNS-Poisoning-Erkennung |
| TCP | tcp.timed_out, tcp.reset | Netzwerkprobleme |
| TLS | tls.cert.name_invalid, tls.cert.revoked | MITM-Erkennung |
| HTTP | http.error, http.protocol.error | Server-Probleme |
dns.address_changed und tls.cert.authority_invalid können auf aktive Man-in-the-Middle-Angriffe hinweisen. NEL benötigt zwingend den Legacy-Header Report-To — der moderne Reporting-Endpoints-Header wird nicht unterstützt. Vollständige Header-Konfiguration
Für maximale Abdeckung setzen Sie alle drei Header parallel: Report-To für NEL, Reporting-Endpoints für CSP-Violations und andere Reports, und NEL für Netzwerk-Fehlermonitoring. Der CSP-Header referenziert die Endpoints über report-to.
# Report-To für NEL (Legacy, aber für NEL zwingend)
Report-To: {"group":"nel","max_age":31536000,"endpoints":[{"url":"https://reports.example.com/nel"}]},
{"group":"default","max_age":31536000,"endpoints":[{"url":"https://reports.example.com/default"}]}
# NEL für Netzwerk-Fehlermonitoring
NEL: {"report_to":"nel","max_age":31536000,"include_subdomains":true,"failure_fraction":1.0,"success_fraction":0.01}
# Reporting-Endpoints für CSP und moderne Report-Typen
Reporting-Endpoints: default="https://reports.example.com/default", csp="https://reports.example.com/csp"
# CSP mit Reporting (report-to + report-uri als Fallback)
Content-Security-Policy: default-src 'self'; report-to default; report-uri https://reports.example.com/cspBrowser-Support, DSGVO und Compliance
Die Reporting API ist ein Chromium-exklusives Feature. Firefox hat NEL als "harmful" eingestuft und Safari hat keine bekannte Implementierungsabsicht. Für die ca. 25-30% der Nutzer ohne Chromium-Browser empfiehlt sich ein JavaScript-basierter Fallback. NEL-Reports enthalten keine Cookies, aber die Client-IP und der User-Agent gelten als personenbezogene Daten nach DSGVO Art. 4 Abs. 1. Die Verarbeitung ist nach Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit) zulässig, erfordert aber eine aktualisierte Datenschutzerklärung. NIS2 Art. 23 fordert Meldepflichten bei Sicherheitsvorfällen — die Reporting API liefert automatisierte Nachweise für die Erkennung und Dokumentation von Sicherheitsereignissen. Im deutschen §30 BSIG wird dies durch die Anforderung an Incident-Detection konkretisiert.
| Feature | Chrome | Firefox | Safari | Edge |
|---|---|---|---|---|
| Report-To | 70+ | Nein | Nein | 79+ |
| NEL | 71+ | Nein | Nein | 79+ |
| Reporting-Endpoints | 96+ | Nein | Nein | 96+ |
Wie steht Ihre Domain bei Reporting API?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Was ist die Reporting API?
Die Reporting API ist ein W3C-Standard, der es Browsern ermöglicht, automatisch Berichte über Fehler und Sicherheitsprobleme an Ihren Server zu senden. Dazu gehören CSP-Violations, Netzwerkfehler (NEL), COOP/COEP-Verstöße und Deprecation-Warnungen. Die API funktioniert wie ein automatisches Frühwarnsystem für Ihre Website.
Was ist der Unterschied zwischen Report-To und Reporting-Endpoints?
Report-To ist der ältere Header mit JSON-Syntax, der für NEL (Network Error Logging) zwingend erforderlich ist. Reporting-Endpoints ist der moderne Nachfolger mit einfacherer Key-Value-Syntax, unterstützt aber kein NEL. In der Praxis sollten Sie beide Header parallel setzen: Report-To für NEL, Reporting-Endpoints für CSP-Violations und andere Berichtstypen.
Welche Browser unterstützen die Reporting API?
Report-To, Reporting-Endpoints und NEL werden ausschließlich von Chromium-basierten Browsern unterstützt — Chrome 70+, Edge 79+ und Opera. Firefox und Safari implementieren keinen dieser Header. Die globale Abdeckung liegt bei ca. 65-70% Desktop und 75-80% Mobile. Für nicht-Chromium-Browser empfiehlt sich ein JavaScript-basierter Fallback.
Erkennt NEL Man-in-the-Middle-Angriffe?
Ja. NEL meldet DNS- und TLS-Fehler automatisch an Ihren Endpoint. Die Report-Typen dns.address_changed und tls.cert.authority_invalid können auf aktive MITM-Angriffe hinweisen. Ohne NEL erfahren Sie von solchen Angriffen erst durch Nutzer-Beschwerden — oft Stunden oder Tage zu spät.
Ist die Reporting API DSGVO-konform?
NEL-Reports enthalten keine Cookies oder Request-Bodies, aber der Browser sendet beim Report-Versand seine IP-Adresse und den User-Agent mit — beides personenbezogene Daten gemäß DSGVO Art. 4(1). Bevorzugen Sie Self-Hosting des Report-Endpoints, aktualisieren Sie Ihre Datenschutzerklärung und setzen Sie eine Retention Policy von maximal 30 Tagen.
Wie viele Punkte bringt die Reporting API im Wolf-Agents Web Security Check?
Die Reporting API wird mit bis zu 4 Punkten im Wolf-Agents Web Security Check bewertet. Geprüft werden: Report-To Header konfiguriert, NEL Header aktiv, NEL mit failure_fraction 1.0 und Reporting-Endpoints für moderne Browser. Das Kapitel ist als fortgeschritten eingestuft.