Reporting API auf All-Inkl konfigurieren
CSP-Violations und Security-Verstöße automatisch erfassen — Reporting-Endpoints per .htaccess auf Ihrem All-Inkl Webhosting konfigurieren.
Reporting API auf All-Inkl
Die Reporting API ermöglicht es Browsern, Security-Verstöße automatisch an einen Reporting-Service zu melden. Besonders wertvoll für CSP-Violations: Statt manuell in DevTools zu prüfen, erhalten Sie automatische Reports über blockierte Ressourcen und Policy-Verstöße. Im Wolf-Agents Web Security Check bringt die Reporting API 4 von 166 Punkten.
Auf All-Inkl setzen Sie den Reporting-Endpoints-Header per .htaccess. Sie benötigen einen externen Reporting-Service (z.B. report-uri.com, uriports.com) oder einen eigenen Endpoint, der die Reports empfängt.
Reporting API auf All-Inkl implementieren
Definieren Sie einen Reporting-Endpoint und verknüpfen Sie ihn mit der CSP-report-to-Direktive. Der Browser sendet Violations als JSON-Payload an den definierten Endpoint.
# /www/htdocs/[username]/[domain]/.htaccess
<IfModule mod_headers.c>
# Reporting-Endpoints definieren
Header set Reporting-Endpoints "csp-endpoint=\"https://reporting.example.com/csp\""
# CSP mit report-to Direktive
Header set Content-Security-Policy "default-src 'self'; report-to csp-endpoint"
</IfModule>// PHP-Alternative
<?php
header('Reporting-Endpoints: csp-endpoint="https://reporting.example.com/csp"');
header("Content-Security-Policy: default-src 'self'; report-to csp-endpoint");
?>Sie benötigen einen Endpoint, der die Reports empfängt. Kostenlose Optionen: report-uri.com (Free Tier) oder uriports.com. Alternativ können Sie einen eigenen PHP-Endpoint auf Ihrem All-Inkl-Webspace erstellen, der die JSON-Reports in eine Datei schreibt.
Verifizierung
Prüfen Sie, ob der Reporting-Endpoints-Header korrekt gesetzt wird.
# Reporting-Endpoints-Header prüfen
curl -sI https://ihre-domain.de | grep -i reporting-endpoints
# Erwartete Ausgabe:
# reporting-endpoints: csp-endpoint="https://..."
# CSP-Header mit report-to prüfen
curl -sI https://ihre-domain.de | grep -i content-security-policy'unsafe-inline' ein und prüfen Sie, ob der Report beim Endpoint ankommt. Häufige Fehler bei der Reporting API auf All-Inkl
Report-Endpoint CORS-Fehler
Der Reporting-Endpoint muss per HTTPS erreichbar sein und CORS-Header für die Browser-Origin senden. Wenn Sie einen eigenen PHP-Endpoint auf Ihrem All-Inkl-Webspace nutzen, fügen Sie header("Access-Control-Allow-Origin: *") hinzu. Externe Dienste wie report-uri.com oder uriports.com haben CORS bereits konfiguriert.
JSON in .htaccess — Anführungszeichen-Escaping
Der Reporting-Endpoints-Header enthält JSON mit verschachtelten Anführungszeichen. In der All-Inkl .htaccess müssen innere Anführungszeichen mit \\\" escaped werden: Header set Reporting-Endpoints "csp-endpoint=\\\"https://...\\\"" . Falsches Escaping führt zum 500-Fehler. Testen Sie alternativ die PHP-header()-Methode, die kein Escaping benötigt.
report-uri vs. report-to
report-uri ist veraltet, wird aber von mehr Browsern unterstützt. report-to ist der moderne Standard. Setzen Sie beide parallel für maximale Kompatibilität: report-uri https://...; report-to csp-endpoint.
Compliance-Relevanz
Automatisches Security-Reporting ist ein zentraler Baustein für Incident Detection und Compliance-Monitoring.
Wie steht Ihre Domain bei Reporting API?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.