CSP: worker-src
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Die HTTP-Content-Security-Policy
(CSP)
worker-src
Direktive gibt gültige Quellen für
Worker
, SharedWorker
oder ServiceWorker
Skripte an.
CSP-Version | 3 |
---|---|
Direktivtyp | Fetch-Direktive |
Fallback |
Wenn diese Direktive fehlt, wird der User-Agent zuerst nach der
|
Syntax
Content-Security-Policy: worker-src 'none';
Content-Security-Policy: worker-src <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'
-
Es dürfen keine Ressourcen dieses Typs geladen werden. Die einfachen Anführungszeichen sind zwingend erforderlich.
<source-expression-list>
-
Eine durch Leerzeichen getrennte Liste von Quell-Ausdruck-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quell-Ausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quell-Ausdruck-Werte anwendbar:
Beispiele
Verletzungsfälle
Angenommen, dieser CSP-Header:
Content-Security-Policy: worker-src https://example.com/
Worker
, SharedWorker
, ServiceWorker
sind
blockiert und werden nicht geladen:
<script>
let blockedWorker = new Worker("data:application/javascript,…");
blockedWorker = new SharedWorker("https://not-example.com/");
navigator.serviceWorker.register("https://not-example.com/sw.js");
</script>
Spezifikationen
Specification |
---|
Content Security Policy Level 3 # directive-worker-src |
Browser-Kompatibilität
BCD tables only load in the browser