CSP: base-uri

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

Die HTTP-Richtlinie Content-Security-Policy base-uri beschränkt die URLs, die im <base>-Element eines Dokuments verwendet werden können. Wenn dieser Wert fehlt, ist jede URI erlaubt. Wenn diese Richtlinie fehlt, verwendet der Benutzeragent den Wert im <base>-Element.

CSP-Version 2
Richtlinientyp Dokumentrichtlinie
default-src Ersatz Nein. Wenn dies nicht gesetzt ist, ist jede URL erlaubt.

Syntax

http
Content-Security-Policy: base-uri 'none';
Content-Security-Policy: base-uri <source-expression-list>;

Diese Richtlinie kann einen der folgenden Werte haben:

'none'

Keine Basis-URI darf mit einem <base>-Element gesetzt werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von Quellausdrücken. Ein <base>-Element darf eine Basis-URI setzen, wenn sein Wert mit einem der angegebenen Quellausdrücke übereinstimmt. Für diese Richtlinie sind folgende Quellausdruckswerte anwendbar:

Beispiele

Meta-Tag-Konfiguration

html
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" />

Apache-Konfiguration

apacheconf
<IfModule mod_headers.c>
Header set Content-Security-Policy "base-uri 'self'";
</IfModule>

Nginx-Konfiguration

nginx
add_header Content-Security-Policy "base-uri 'self';"

Verletzungsfall

Da Ihre Domain nicht example.com ist, führt ein <base>-Element mit href, das auf https://example.com gesetzt ist, zu einem CSP-Verstoß.

html
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" />
<base href="https://example.com/" />

<!--
// Error: Refused to set the document's base URI to 'https://example.com/'
// because it violates the following Content Security Policy
// directive: "base-uri 'self'"
-->

Spezifikationen

Specification
Content Security Policy Level 3
# directive-base-uri

Browser-Kompatibilität

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
base-uri

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support

Siehe auch