Content-Security-Policy: child-src Anweisung
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since April 2017.
Die HTTP Content-Security-Policy
(CSP)
child-src
Anweisung definiert die gültigen Quellen für Web Workers und verschachtelte Browsing-Kontexte, die mit Elementen wie <frame>
und <iframe>
geladen werden. Für Worker werden nicht konforme Anfragen vom Benutzeragenten als fatale Netzwerkfehler behandelt.
CSP-Version | 2 |
---|---|
Anweisungstyp | Fetch directive |
default-src Fallback |
Ja. Wenn diese Anweisung fehlt, sucht der Benutzeragent nach der
default-src Anweisung.
|
Syntax
Content-Security-Policy: child-src 'none';
Content-Security-Policy: child-src <source-expression-list>;
Diese Anweisung kann einen der folgenden Werte haben:
'none'
-
Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>
-
Eine durch Leerzeichen getrennte Liste von source expression Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellen-Ausdrücke übereinstimmen. Für diese Anweisung sind folgende Quellen-Ausdrücke anwendbar:
Beispiele
Verletzungsfälle
Gegeben sei dieser CSP-Header:
Content-Security-Policy: child-src https://example.com/
Dieses <iframe>
und dieser Worker werden blockiert und nicht geladen:
<iframe src="https://not-example.com"></iframe>
<script>
const blockedWorker = new Worker("data:text/javascript,…");
</script>
Spezifikationen
Specification |
---|
Content Security Policy Level 3 # directive-child-src |