Content-Security-Policy: style-src-elem Direktive

Content-Security-Policy: style-src-elem 'none';
Content-Security-Policy: style-src-elem <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Es dürfen keine Ressourcen dieses Typs geladen werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von source expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen source expressions übereinstimmen. Für diese Direktive gelten die gleichen source expression-Werte wie für style-src, mit Ausnahme von 'unsafe-hashes'.

style-src-elem kann in Verbindung mit style-src verwendet werden:

Content-Security-Policy: style-src <source>;
Content-Security-Policy: style-src-elem <source>;

Bei folgendem CSP-Header:

Content-Security-Policy: style-src-elem https://example.com/

…werden die folgenden Stylesheets blockiert und nicht geladen:

<link href="https://not-example.com/styles/main.css" rel="stylesheet" />

<style>
  #inline-style {
    background: red;
  }
</style>

<style>
  @import url("https://not-example.com/styles/print.css") print;
</style>

…sowie Stile, die über den Link-Header geladen werden:

Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet

• Content-Security-Policy
• style-src
• style-src-attr
• Link-Header
• <style>, <link>
• @import
• CSSStyleSheet.insertRule()
• CSSGroupingRule.insertRule()
• CSSStyleDeclaration.cssText