CSP: script-src-attr

Content-Security-Policy: script-src-attr 'none';
Content-Security-Policy: script-src-attr <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von Source-Expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Source-Expressions übereinstimmen. Für diese Direktive sind die folgenden Source-Expression-Werte anwendbar:

• 'unsafe-hashes'
• 'unsafe-inline'
• 'report-sample'

script-src-attr kann zusammen mit script-src verwendet werden und überschreibt diese Direktive für Prüfungen an Inline-Handlern:

Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src-attr <source>;

Gegeben diesem CSP-Header:

Content-Security-Policy: script-src-attr 'none'

…wird der folgende Inline-Event-Handler blockiert und nicht geladen oder ausgeführt:

<button id="btn" onclick="doSomething()"></button>

Beachten Sie, dass Sie im Allgemeinen Inline-Event-Handler durch Aufrufe von addEventListener ersetzen sollten:

document.getElementById("btn").addEventListener("click", doSomething);

• Content-Security-Policy
• <script>
• script-src
• script-src-elem