Content-Security-Policy: sandbox directive
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since November 2016.
Die HTTP-Richtlinie Content-Security-Policy (CSP) sandbox aktiviert eine Sandbox für die angeforderte Ressource, ähnlich dem sandbox Attribut des <iframe>. Sie beschränkt die Aktionen einer Seite, einschließlich der Verhinderung von Popups, der Ausführung von Plugins und Skripten sowie der Durchsetzung einer Same-Origin-Policy.
| CSP-Version | 1.1 / 2 |
|---|---|
| Richtlinien-Typ | Dokumentrichtlinie |
Diese Richtlinie wird weder im <meta>-Element noch durch das
Content-Security-policy-Report-Only-Headerfeld unterstützt.
|
|
Syntax
Content-Security-Policy: sandbox;
Content-Security-Policy: sandbox <value>;
wobei <value> optional einer der folgenden Werte sein kann:
allow-downloads-
Ermöglicht das Herunterladen von Dateien über ein
<a>- oder<area>-Element mit dem download Attribut, sowie über die Navigation, die zum Herunterladen einer Datei führt. Dies funktioniert unabhängig davon, ob der Benutzer auf den Link geklickt hat oder der JS-Code dies ohne Benutzerinteraktion initiiert hat. allow-forms-
Ermöglicht der Seite das Absenden von Formularen. Wenn dieses Schlüsselwort nicht benutzt wird, wird das Formular normal angezeigt, das Versenden löst jedoch keine Eingabeüberprüfung aus, sendet keine Daten an einen Webserver und schließt keinen Dialog.
allow-modals-
Ermöglicht der Seite das Öffnen von modalen Fenstern über
Window.alert(),Window.confirm(),Window.print()undWindow.prompt(), während das Öffnen eines<dialog>unabhängig von diesem Schlüsselwort erlaubt ist. Es ermöglicht der Seite auch, dasBeforeUnloadEvent-Ereignis zu empfangen. allow-orientation-lock-
Ermöglicht der Ressource, die Bildschirmausrichtung zu sperren.
allow-pointer-lock-
Ermöglicht der Seite die Nutzung der Pointer Lock API.
allow-popups-
Ermöglicht Popups (wie von
Window.open(),target="_blank",Window.showModalDialog()). Wenn dieses Schlüsselwort nicht verwendet wird, schlägt diese Funktionalität stillschweigend fehl. allow-popups-to-escape-sandbox-
Erlaubt einem sandboxed-Dokument, neue Fenster zu öffnen, ohne die Sandbox-Einschränkungen auf sie anzuwenden. Dies ermöglicht z.B. einer Drittanbieteranzeige, sicher geschützt zu sein, ohne dieselben Einschränkungen auf die Seite zu erzwingen, zu der die Anzeige verlinkt.
allow-presentation-
Ermöglicht Embedders die Kontrolle darüber, ob ein iframe eine Präsentationssitzung starten kann.
allow-same-origin-
Wenn dieses Token nicht verwendet wird, wird die Ressource als von einem speziellen Ursprung behandelt, der immer die Same-Origin-Policy verletzt (was möglicherweise den Zugriff auf Datenspeicherung/Cookies und einige JavaScript-APIs verhindert).
allow-scripts-
Ermöglicht der Seite das Ausführen von Skripten (aber nicht das Erstellen von Popup-Fenstern). Wenn dieses Schlüsselwort nicht verwendet wird, ist dieser Vorgang nicht erlaubt.
allow-storage-access-by-user-activationExperimentell-
Ermöglicht der Ressource das Anfordern des Zugriffs auf die Speicherfähigkeiten der übergeordneten Instanz mit der Storage Access API.
-
Ermöglicht der Ressource die Navigation im obersten Browsing-Kontext (demjenigen, der als
_topbezeichnet wird). -
Ermöglicht der Ressource die Navigation im obersten Browsing-Kontext, jedoch nur, wenn sie durch eine Benutzeraktion initiiert wurde.
-
Ermöglicht Navigationen zu nicht-
http-Protokollen, die im Browser integriert oder von einer Webseite registriert sind. Diese Funktion wird auch durch das Schlüsselwortallow-popupsoderallow-top-navigationaktiviert.
Hinweis:
Die Werte allow-top-navigation und verwandte machen nur für eingebettete Dokumente (wie untergeordnete iframes) Sinn. Für eigenständige Dokumente haben diese Werte keine Wirkung, da das oberste Browsing-Kontext das Dokument selbst ist.
Beispiele
Content-Security-Policy: sandbox allow-scripts;
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-sandbox |
Browser-Kompatibilität
Siehe auch
Content-Security-PolicysandboxAttribut auf<iframe>-Elementen