HTTP头部信息 | 仅用于生成公共密钥记录的报告

那个仅包含HTTP公钥 PIN码的报告这是一个用于向目标设备发送报告的响应头。报告/汇报如果发生了任何违反pin规则的情况，那么相关信息会记录在头部中。不过，与Public-Key-Pins不同的是，这种方式仍然允许浏览器连接到服务器，而且即使违反了pin规则，也不会在屏幕上显示任何错误信息。在阅读本文之前，请务必先阅读关于HTTP Public-Key-Pins的文章。标题类型：响应头信息禁止的头部名称：no语法

Public-Key-Pins-Report-Only: pin - sha256 = "pin - value"; 
                                  max - age = expire - time; 
                                  includeSubDomains; 
                                  report - uri = "uri"

指令/指示：

• pin - sha256 = “pin - 值”这个引脚用于指定多个引脚，分别对应于不同的公钥。未来，我们也可以使用除SHA-256之外的其他哈希算法。
• max-age = 过期时间该指令并未被包含在Public-Key-Pins-Report-Only头信息中，因此会被用户代理忽略，同时它也不会被缓存。
• 包括子域此参数表明，该网站的规则同样适用于该网站的子域名。该参数是可选的。
• 报告 – URI = “uri”此引脚会发送关于PIN验证失败的报告。该参数也是可选的。

例如：

Public-Key-Pins-Report-Only:
    pin-sha256 = "cUPcTAZWKaASuYWhhneY3oBAkE3h2+soZS7sWs="; 
    pin-sha256 = "M8HztCzM3elS5P4hhyBNf6lHkmjAHKhpGPWE="; 
    includeSubDomains; 
    report-uri = "https://www.spoto.net/hpkp-report"

在这个例子中，第一个引脚是First pin。pin-sha256 = “cUPcTAZWKaASuYWhhneY3oBAkE3h2+soZS7sWs=”在生产环境中使用的是服务器的公钥。pin-sha256 = “M8HztCzM3elS5P4hhyBNf6lHkmjAHKhpGPWE=”被用作备用密钥。包括子域名这意味着，这个密钥适用于所有的子域。报告链接：https://www.spoto.net/hpkp-report说明了在何处报告PIN码验证失败的情况。浏览器兼容性：

• 谷歌浏览器
• 歌剧
• 火狐
• Internet Explorer
• Microsoft Edge
• Safari