CSP: worker-src

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

Die HTTP-Content-Security-Policy (CSP) worker-src Direktive gibt gültige Quellen für Worker, SharedWorker oder ServiceWorker Skripte an.

CSP-Version 3
Direktivtyp Fetch-Direktive
Fallback

Wenn diese Direktive fehlt, wird der User-Agent zuerst nach der child-src Direktive suchen, dann die script-src Direktive und schließlich die default-src Direktive, wenn es um die Ausführung von Workern geht.

Syntax

http
Content-Security-Policy: worker-src 'none';
Content-Security-Policy: worker-src <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Es dürfen keine Ressourcen dieses Typs geladen werden. Die einfachen Anführungszeichen sind zwingend erforderlich.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von Quell-Ausdruck-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quell-Ausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quell-Ausdruck-Werte anwendbar:

Beispiele

Verletzungsfälle

Angenommen, dieser CSP-Header:

http
Content-Security-Policy: worker-src https://example.com/

Worker, SharedWorker, ServiceWorker sind blockiert und werden nicht geladen:

html
<script>
  let blockedWorker = new Worker("data:application/javascript,…");
  blockedWorker = new SharedWorker("https://not-example.com/");
  navigator.serviceWorker.register("https://not-example.com/sw.js");
</script>

Spezifikationen

Specification
Content Security Policy Level 3
# directive-worker-src

Browser-Kompatibilität

BCD tables only load in the browser

Siehe auch