CSP: sandbox

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

Die HTTP Content-Security-Policy (CSP) sandbox Direktive aktiviert eine Sandbox für die angeforderte Ressource, ähnlich dem Attribut sandbox von <iframe>. Sie wendet Einschränkungen auf die Aktionen einer Seite an, einschließlich der Verhinderung von Pop-ups, der Ausführung von Plugins und Skripten und der Durchsetzung einer Same-Origin-Policy.

CSP-Version 1.1 / 2
Typ der Direktive Dokumentdirektive
Diese Direktive wird nicht im <meta> Element oder vom Content-Security-policy-Report-Only Header-Feld unterstützt.

Syntax

http
Content-Security-Policy: sandbox;
Content-Security-Policy: sandbox <value>;

wobei <value> optional einer der folgenden Werte sein kann:

allow-downloads

Erlaubt das Herunterladen von Dateien über ein <a> oder <area> Element mit dem download Attribut sowie durch die Navigation, die zum Herunterladen einer Datei führt. Dies funktioniert unabhängig davon, ob der Benutzer auf den Link geklickt hat oder ob der JavaScript-Code dies ohne Benutzerinteraktion initiiert hat.

allow-forms

Erlaubt der Seite das Absenden von Formularen. Wenn dieses Schlüsselwort nicht verwendet wird, wird das Formular normal angezeigt, aber das Absenden wird keine Eingabevalidierung auslösen, Daten an einen Webserver senden oder einen Dialog schließen.

allow-modals

Erlaubt der Seite das Öffnen von modalen Fenstern durch Window.alert(), Window.confirm(), Window.print() und Window.prompt(), während das Öffnen eines <dialog> unabhängig von diesem Schlüsselwort erlaubt ist. Es erlaubt der Seite auch, das BeforeUnloadEvent Ereignis zu empfangen.

allow-orientation-lock

Lässt die Ressource die Bildschirmorientierung sperren.

allow-pointer-lock

Erlaubt der Seite die Verwendung der Pointer Lock API.

allow-popups

Erlaubt Pop-ups (wie von Window.open(), target="_blank", Window.showModalDialog()). Wenn dieses Schlüsselwort nicht verwendet wird, wird diese Funktionalität stillschweigend fehlschlagen.

allow-popups-to-escape-sandbox

Erlaubt es einem sandgestrahlten Dokument, neue Fenster zu öffnen, ohne die Sandboxing-Flags auf diese zu erzwingen. Dies ermöglicht es beispielsweise, eine Drittanbieterwerbung sicher zu sandboxen, ohne dieselben Einschränkungen auf die Seite zu erzwingen, auf die die Anzeige verweist.

allow-presentation

Erlaubt Embedders die Kontrolle darüber, ob ein iframe eine Präsentationssitzung starten kann.

allow-same-origin

Wenn dieses Token nicht verwendet wird, wird die Ressource als von einem speziellen Ursprung stammend behandelt, der immer die Same-Origin-Policy fehlschlägt (was möglicherweise den Zugriff auf Datenspeicherung/Cookies und einige JavaScript-APIs verhindert).

allow-scripts

Erlaubt der Seite das Ausführen von Skripten (aber nicht das Erstellen von Pop-up-Fenstern). Wenn dieses Schlüsselwort nicht verwendet wird, ist diese Operation nicht erlaubt.

allow-storage-access-by-user-activation Experimentell

Lässt die Ressource den Zugriff auf die Speichermöglichkeiten des Elternteils mit der Storage Access API anfordern.

allow-top-navigation

Lässt die Ressource den Kontext der obersten Browserebene (den mit dem Namen _top) navigieren.

allow-top-navigation-by-user-activation

Lässt die Ressource den Kontext der obersten Browserebene navigieren, aber nur, wenn er durch eine Benutzeraktion initiiert wird.

allow-top-navigation-to-custom-protocols

Erlaubt Navigierungen zu nicht-http Protokollen, die im Browser integriert oder von einer Website registriert sind. Diese Funktionalität wird auch durch das allow-popups oder allow-top-navigation Schlüsselwort aktiviert.

Hinweis: Die Werte allow-top-navigation und verwandte Werte sind nur für eingebettete Dokumente (wie z.B. untergeordnete iframes) sinnvoll. Für eigenständige Dokumente haben diese Werte keine Wirkung, da der Kontext der obersten Browserebene das Dokument selbst ist.

Beispiele

http
Content-Security-Policy: sandbox allow-scripts;

Spezifikationen

Specification
Content Security Policy Level 3
# directive-sandbox

Browser-Kompatibilität

BCD tables only load in the browser

Siehe auch