CSP: script-src-elem
Die HTTP-Header-Content-Security-Policy-Richtlinie (CSP) script-src-elem gibt gültige Quellen für JavaScript-<script>-Elemente an.
Diese Richtlinie spezifiziert nur gültige Quellen in <script>-Elementen (sowohl Skriptanfragen als auch Blöcke).
Sie gilt nicht für andere JavaScript-Quellen, die eine Skriptausführung auslösen können, wie z. B. Inline-Skriptereignishandler (onclick), Skriptausführungsmethoden abhängig von der "unsafe-eval"-Prüfung und XSLT-Stylesheets.
(Gültige Quellen können für alle JavaScript-Skriptquellen mit script-src oder nur für Inline-Skripthandler mit script-src-attr angegeben werden.)
| CSP-Version | 3 |
|---|---|
| Richtlinientyp | Fetch-Richtlinie |
default-src-Fallback |
Ja.
Wenn diese Richtlinie fehlt, sucht der User-Agent nach der script-src-Richtlinie. Wenn beide fehlen, wird auf die default-src-Richtlinie zurückgegriffen.
|
Syntax
Content-Security-Policy: script-src-elem 'none';
Content-Security-Policy: script-src-elem <source-expression-list>;
Diese Richtlinie kann einen der folgenden Werte aufweisen:
'none'-
Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind zwingend erforderlich.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Source-Expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Source-Expressions übereinstimmen. Für diese Richtlinie sind alle im Fetch-Richtlinien-Syntax aufgeführten Source-Expression-Werte anwendbar, mit Ausnahme von
'unsafe-hashes'.
script-src-elem kann in Verbindung mit script-src verwendet werden:
Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src-elem <source>;
Beispiele
Verletzungsfall
Angenommen, dieser CSP-Header ist gesetzt:
Content-Security-Policy: script-src-elem https://example.com/
…dann wird das folgende Skript blockiert und nicht geladen oder ausgeführt:
<script src="https://not-example.com/js/library.js"></script>
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-script-src-elem |
Browser-Kompatibilität
BCD tables only load in the browser