CSP: connect-src

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

Der HTTP Content-Security-Policy (CSP) connect-src-Direktive beschränkt die URLs, die über Skriptschnittstellen geladen werden können. Die folgenden APIs werden von dieser Direktive gesteuert:

Note: connect-src 'self' wird in allen Browsern nicht für Websocket-Schemata aufgelöst, weitere Informationen finden Sie in diesem Issue.

CSP-Version	1
Direktivtyp	Fetch-Direktive
`default-src`-Fallback	Ja. Wenn diese Direktive fehlt, wird der Benutzeragent nach der `default-src`-Direktive suchen.

Syntax

http

Content-Security-Policy: connect-src 'none';
Content-Security-Policy: connect-src <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von source expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quellausdrücke anwendbar:

Beispiele

Verletzungsfälle

Angenommen, dieser CSP-Header:

http

Content-Security-Policy: connect-src https://example.com/

Die folgenden Verbindungen werden blockiert und nicht geladen:

html

<a ping="https://not-example.com">
  <script>
    const response = fetch("https://not-example.com/");

    const xhr = new XMLHttpRequest();
    xhr.open("GET", "https://not-example.com/");
    xhr.send();

    const ws = new WebSocket("wss://not-example.com/");

    const es = new EventSource("https://not-example.com/");

    navigator.sendBeacon("https://not-example.com/", {
      /* … */
    });
  </script></a
>

Spezifikationen

Specification
Content Security Policy Level 3 # directive-connect-src

Browser-Kompatibilität

BCD tables only load in the browser