CSP: object-src
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Die HTTP-Richtlinie Content-Security-Policy
object-src
legt gültige Quellen für die
<object>
- und <embed>
-Elemente fest.
Hinweis: Elemente, die durch object-src
kontrolliert werden, gelten vielleicht zufällig als veraltete HTML-Elemente und erhalten keine neuen standardisierten Funktionen (wie z.B. die Sicherheitsattribute sandbox
oder allow
für <iframe>
). Daher wird empfohlen, diese Fetch-Direktive einzuschränken (z.B. object-src 'none'
explizit festzulegen, wenn möglich).
CSP-Version | 1 |
---|---|
Direktiventyp | Fetch-Direktive |
default-src Fallback |
Ja. Wenn diese Direktive fehlt, wird der Benutzeragent nach der
default-src Direktive suchen.
|
Syntax
Content-Security-Policy: object-src 'none';
Content-Security-Policy: object-src <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'
-
Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind verpflichtend.
<source-expression-list>
-
Eine durch Leerzeichen getrennte Liste von Quell-Ausdruck-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quellausdruckswerte anwendbar:
Beispiele
Verletzungsfälle
Spezifikationen
Specification |
---|
Content Security Policy Level 3 # directive-object-src |
Browser-Kompatibilität
BCD tables only load in the browser