Content-Security-Policy: child-src Anweisung

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since April 2017.

Die HTTP Content-Security-Policy (CSP) child-src Anweisung definiert die gültigen Quellen für Web Workers und verschachtelte Browsing-Kontexte, die mit Elementen wie <frame> und <iframe> geladen werden. Für Worker werden nicht konforme Anfragen vom Benutzeragenten als fatale Netzwerkfehler behandelt.

CSP-Version 2
Anweisungstyp Fetch directive
default-src Fallback Ja. Wenn diese Anweisung fehlt, sucht der Benutzeragent nach der default-src Anweisung.

Syntax

http
Content-Security-Policy: child-src 'none';
Content-Security-Policy: child-src <source-expression-list>;

Diese Anweisung kann einen der folgenden Werte haben:

'none'

Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von source expression Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellen-Ausdrücke übereinstimmen. Für diese Anweisung sind folgende Quellen-Ausdrücke anwendbar:

Beispiele

Verletzungsfälle

Gegeben sei dieser CSP-Header:

http
Content-Security-Policy: child-src https://example.com/

Dieses <iframe> und dieser Worker werden blockiert und nicht geladen:

html
<iframe src="https://not-example.com"></iframe>

<script>
  const blockedWorker = new Worker("data:text/javascript,…");
</script>

Spezifikationen

Specification
Content Security Policy Level 3
# directive-child-src

Browser-Kompatibilität

Siehe auch