CSP: child-src
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Der HTTP-Header Content-Security-Policy (CSP) child-src-Direktive definiert die gültigen Quellen für Web Worker und verschachtelte Browsing-Kontexte, die mit Elementen wie <frame> und <iframe> geladen werden. Für Worker werden nicht konforme Anfragen vom User-Agenten als fatale Netzwerkfehler behandelt.
| CSP-Version | 2 |
|---|---|
| Direktivtyp | Fetch-Direktive |
default-src Fallback |
Ja. Falls diese Direktive fehlt, sucht der User-Agent nach der
default-src-Direktive.
|
Syntax
Content-Security-Policy: child-src 'none';
Content-Security-Policy: child-src <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'-
Es dürfen keine Ressourcen dieses Typs geladen werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Quellenausdruck Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie einem der angegebenen Quellenausdrücke entsprechen.
Quellenausdrücke werden als Schlüsselwortwerte oder URL-Muster angegeben: Die Syntax für jeden Quellenausdruck ist in CSP-Quellenwerte angegeben.
Beispiele
Verstöße
Angenommen, dieser CSP-Header:
Content-Security-Policy: child-src https://example.com/
Dieses <iframe> und der Worker werden blockiert und nicht geladen:
<iframe src="https://not-example.com"></iframe>
<script>
const blockedWorker = new Worker("data:application/javascript,…");
</script>
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-child-src |
Browser-Kompatibilität
BCD tables only load in the browser