CSP: object-src

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

Der HTTP-Header Content-Security-Policy object-src Direktive legt gültige Quellen für die <object> und <embed> Elemente fest.

Hinweis: Elemente, die durch object-src gesteuert werden, werden möglicherweise zufällig als veraltete HTML-Elemente angesehen und erhalten keine neuen standardisierten Funktionen (wie z.B. die Sicherheitsattribute sandbox oder allow für <iframe>). Es wird daher empfohlen, diese Fetch-Direktive einzuschränken (z.B. explizit object-src 'none' festzulegen, wenn möglich).

CSP-Version 1
Direktivtyp Fetch-Direktive
default-src Fallback Ja. Wenn diese Direktive fehlt, wird der Benutzeragent nach der default-src Direktive suchen.

Syntax

http
Content-Security-Policy: object-src 'none';
Content-Security-Policy: object-src <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von Quellausdruck-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen.

Quellausdrücke werden als Schlüsselwortwerte oder URL-Muster angegeben: Die Syntax für jeden Quellausdruck wird in CSP-Quellwerte beschrieben.

Beispiele

Verstöße

Angenommen, dieser CSP-Header ist gesetzt:

http
Content-Security-Policy: object-src https://example.com/

Die folgenden <object> und <embed> Elemente werden blockiert und nicht geladen:

html
<embed src="https://not-example.com/flash"></embed>
<object data="https://not-example.com/plugin"></object>

Spezifikationen

Specification
Content Security Policy Level 3
# directive-object-src

Browser-Kompatibilität

BCD tables only load in the browser

Siehe auch