Public-Key-Pins-Report-Only
sendet Berichte über Pinning-Verletzungen an die im Header angegebenen,
erlaubt Browsern aber im Gegensatz zu Public-Key-Pins immer noch,
eine Verbindung zum Server herzustellen, wenn das Pinning verletzt wird.
Public-Key-Pins-Report-Onlyreport-uri
Weitere Informationen finden Sie
auf der Referenzseite für den Public-Key-Pins-Header
und im Artikel HTTP Public Key Pinning.
pin-sha256="pin-value"
Bei der Zeichenfolge in Anführungszeichen handelt es sich um den Base64-codierten SPKI-Fingerabdruck
(Subject Public Key Information).
Es ist möglich, mehrere Pins für verschiedene öffentliche Schlüssel anzugeben.
Einige Browser könnten in Zukunft andere Hashing-Algorithmen als SHA-256 zulassen.
max-age=Ablaufzeit
Diese Direktive ist für den Public-Key-Pins-Report-Only-Header bedeutungslos,
sie wird von Benutzeragenten ignoriert
und der Header wird nicht zwischengespeichert.
includeSubDomains Wahlfrei
Wenn dieser optionale Parameter angegeben wird,
gilt diese Regel auch für alle Subdomains der Website.
report-uri="uri"
Fehler bei der Pin-Validierung werden an die angegebene URL gemeldet.
Diese Direktive sollte mit diesem Header verwendet werden,
da dieser Header sonst ein No-Op ist.
Beispiel:
Public-Key-Pins-Report-Only pin-sha256="cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs="; pin-sha256="M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE="; includeSubDomains; report-uri="https://www.example.org/hpkp-report"
Public-Key-Pins-Report-Only