在线文档教程

Public-Key-Pins-Report-Only

Public-Key-Pins-Report-Only

HTTP Public-Key-Pins-Report-Only响应头将针对违规的报告发送到头中report-uri指定的报告,但是,Public-Key-Pins如果违反了钉住规则,仍然允许浏览器连接到服务器。

有关更多信息,请参阅Public-Key-Pins标题参考页面和 HTTP 公用密钥固定文章。

Header typeResponse header
Forbidden header nameno

句法

Public-Key-Pins-Report-Only: pin-sha256="<pin-value>"; max-age=<expire-time>; includeSubDomains; report-uri="<uri>"

指令

pin-sha256="<pin-value>"引用的字符串是 Base64 编码的主题公钥信息(SPKI)指纹。可以为不同的公钥指定多个引脚。一些浏览器可能会在将来允许其他散列算法而不是 SHA-256。max-age = <expire-time> 该指令对于公钥关键字引脚报告头是没有意义的,它将被用户代理忽略,标题不会被缓存。includeSubDomains可选如果指定了此可选参数,则此规则也适用于所有网站的子域。report-uri="<uri>"针验证失败报告给定的 URL。这个指令应该和这个头部一起使用,否则这个头部将是一个空操作。

Public-Key-Pins-Report-Only: pin-sha256="cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs="; pin-sha256="M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE="; includeSubDomains; report-uri="https://www.example.org/hpkp-report"

在本例中,pin-sha256 =“cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2 + soZS7sWs =”固定生产中使用的服务器公钥。第二个引脚声明pin-sha256 =“M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE =”也引脚备份密钥。此关键固定也适用于所有子域,这由 includeSubDomains 声明告知。最后,report-uri =“ https://www.example.org/hpkp-report ” 说明报告引脚验证失败的位置。

产品规格

SpecificationTitle
RFC 7469, section 2.1: Public-Key-Pins-Report-OnlyPublic Key Pinning Extension for HTTP

浏览器兼容性

FeatureChromeFirefoxEdgeInternet ExplorerOperaSafari
Basic Support46(No)2(No)1?33?

FeatureAndroidChrome for AndroidEdge mobileFirefox for AndroidIE mobileOpera AndroidiOS Safari
Basic Support(Yes)(Yes)?(No)?33?