Content-Security-Policy: object-src Direktive

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

Die HTTP Content-Security-Policy object-src Direktive legt gültige Quellen für die <object> und <embed> Elemente fest.

Hinweis: Elemente, die durch object-src gesteuert werden, gelten möglicherweise zufällig als veraltete HTML-Elemente und erhalten keine neuen standardisierten Funktionen (wie z.B. die Sicherheitsattribute sandbox oder allow für <iframe>). Daher wird empfohlen, diese Fetch-Direktive einzuschränken (z.B. object-src 'none' explizit festzulegen, falls möglich).

CSP-Version 1
Direktivtyp Fetch-Direktive
default-src Fallback Ja. Wenn diese Direktive nicht vorhanden ist, sucht der User-Agent nach der default-src Direktive.

Syntax

http
Content-Security-Policy: object-src 'none';
Content-Security-Policy: object-src <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von source expression Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellenausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quellenausdrücke anwendbar:

Beispiele

Verstöße

Gegeben sei dieser CSP-Header:

http
Content-Security-Policy: object-src https://example.com/

Die folgenden <object> und <embed> Elemente werden blockiert und nicht geladen:

html
<embed src="https://not-example.com/flash" />
<object data="https://not-example.com/plugin"></object>

Spezifikationen

Specification
Content Security Policy Level 3
# directive-object-src

Browser-Kompatibilität

Siehe auch