CSP: object-src
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Der HTTP-Header Content-Security-Policy
object-src
Direktive legt gültige Quellen für die
<object>
und <embed>
Elemente fest.
Hinweis: Elemente, die durch object-src
gesteuert werden, werden möglicherweise zufällig
als veraltete HTML-Elemente angesehen und erhalten keine neuen standardisierten Funktionen (wie z.B.
die Sicherheitsattribute sandbox
oder allow
für
<iframe>
). Es wird daher empfohlen, diese Fetch-Direktive einzuschränken (z.B. explizit object-src 'none'
festzulegen, wenn möglich).
CSP-Version | 1 |
---|---|
Direktivtyp | Fetch-Direktive |
default-src Fallback |
Ja. Wenn diese Direktive fehlt, wird der Benutzeragent nach der
default-src Direktive suchen.
|
Syntax
Content-Security-Policy: object-src 'none';
Content-Security-Policy: object-src <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'
-
Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>
-
Eine durch Leerzeichen getrennte Liste von Quellausdruck-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen.
Quellausdrücke werden als Schlüsselwortwerte oder URL-Muster angegeben: Die Syntax für jeden Quellausdruck wird in CSP-Quellwerte beschrieben.
Beispiele
Verstöße
Spezifikationen
Specification |
---|
Content Security Policy Level 3 # directive-object-src |
Browser-Kompatibilität
BCD tables only load in the browser