CSP: worker-src
Die HTTP-Direktive Content-Security-Policy (CSP)
worker-src gibt gültige Quellen für
Worker, SharedWorker oder ServiceWorker
Skripte an.
| CSP-Version | 3 |
|---|---|
| Direktivtyp | Fetch-Direktive |
| Fallback |
Ist diese Direktive nicht vorhanden, sucht der User Agent zunächst
nach der |
Syntax
Content-Security-Policy: worker-src 'none';
Content-Security-Policy: worker-src <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'-
Es dürfen keine Ressourcen dieses Typs geladen werden. Die einfachen Anführungszeichen sind zwingend erforderlich.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Quellausdruckswerten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen.
Quellausdrücke sind als Schlüsselwortwerte oder URL-Muster angegeben: Die Syntax für jeden Quellausdruck ist in CSP-Quellwerte angegeben.
Beispiele
Verletzungsfälle
Angesichts dieses CSP-Headers:
Content-Security-Policy: worker-src https://example.com/
Worker, SharedWorker, ServiceWorker werden blockiert und nicht geladen:
<script>
let blockedWorker = new Worker("data:application/javascript,…");
blockedWorker = new SharedWorker("https://not-example.com/");
navigator.serviceWorker.register("https://not-example.com/sw.js");
</script>
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-worker-src |
Browser-Kompatibilität
BCD tables only load in the browser