CSP: script-src-elem
Der HTTP-Header Content-Security-Policy
(CSP) script-src-elem
-Direktive gibt gültige Quellen für JavaScript-Elemente vom Typ <script>
an.
Diese Direktive spezifiziert nur gültige Quellen in <script>
-Elementen (sowohl Skriptanfragen als auch Blöcke). Sie gilt nicht für andere JavaScript-Quellen, die eine Skriptausführung auslösen können, wie z.B. Inline-Skriptereignishandler (onclick
), Skriptausführungsmethoden abhängig von der "unsafe-eval"-Prüfung und XSLT-Stylesheets.
(Gültige Quellen können für alle JavaScript-Skriptquellen mit script-src
, oder nur für Inline-Skripthandler mit script-src-attr
festgelegt werden.)
CSP-Version | 3 |
---|---|
Direktivtyp | Abruf-Direktive |
default-src Fallback |
Ja.
Wenn diese Direktive fehlt, sucht der User-Agent nach der script-src -Direktive, und wenn beide fehlen, fällt er auf die default-src -Direktive zurück.
|
Syntax
Content-Security-Policy: script-src-elem 'none';
Content-Security-Policy: script-src-elem <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'
-
Es dürfen keine Ressourcen dieses Typs geladen werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>
-
Eine durch Leerzeichen getrennte Liste von source expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellenausdrücke übereinstimmen.
Quellenausdrücke werden als Schlüsselwortwerte oder URL-Muster angegeben: die Syntax für jeden Quellenausdruck ist in CSP-Quellenwerte beschrieben.
script-src-elem
kann in Verbindung mit script-src
verwendet werden:
Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src-elem <source>;
Beispiele
Verstöße
Angenommen, dieser CSP-Header ist gegeben:
Content-Security-Policy: script-src-elem https://example.com/
…das folgende Skript wird blockiert und nicht geladen oder ausgeführt:
<script src="https://not-example.com/js/library.js"></script>
Spezifikationen
Specification |
---|
Content Security Policy Level 3 # directive-script-src-elem |
Browser-Kompatibilität
BCD tables only load in the browser