CSP: sandbox

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

Die HTTP Content-Security-Policy (CSP) sandbox Direktive aktiviert eine Sandbox für die angeforderte Ressource, ähnlich dem Attribut sandbox von <iframe>. Sie wendet Einschränkungen auf die Aktionen einer Seite an, einschließlich der Verhinderung von Pop-ups, der Ausführung von Plugins und Skripten und der Durchsetzung einer Same-Origin-Policy.

Diese Direktive wird nicht im `<meta>` Element oder vom `Content-Security-policy-Report-Only` Header-Feld unterstützt.
CSP-Version	1.1 / 2
Typ der Direktive	Dokumentdirektive

Syntax

http

Content-Security-Policy: sandbox;
Content-Security-Policy: sandbox <value>;

wobei <value> optional einer der folgenden Werte sein kann:

allow-downloads: Erlaubt das Herunterladen von Dateien über ein <a> oder <area> Element mit dem download Attribut sowie durch die Navigation, die zum Herunterladen einer Datei führt. Dies funktioniert unabhängig davon, ob der Benutzer auf den Link geklickt hat oder ob der JavaScript-Code dies ohne Benutzerinteraktion initiiert hat.
allow-forms: Erlaubt der Seite das Absenden von Formularen. Wenn dieses Schlüsselwort nicht verwendet wird, wird das Formular normal angezeigt, aber das Absenden wird keine Eingabevalidierung auslösen, Daten an einen Webserver senden oder einen Dialog schließen.
allow-modals: Erlaubt der Seite das Öffnen von modalen Fenstern durch Window.alert(), Window.confirm(), Window.print() und Window.prompt(), während das Öffnen eines <dialog> unabhängig von diesem Schlüsselwort erlaubt ist. Es erlaubt der Seite auch, das BeforeUnloadEvent Ereignis zu empfangen.
allow-orientation-lock: Lässt die Ressource die Bildschirmorientierung sperren.
allow-pointer-lock: Erlaubt der Seite die Verwendung der Pointer Lock API.
allow-popups: Erlaubt Pop-ups (wie von Window.open(), target="_blank", Window.showModalDialog()). Wenn dieses Schlüsselwort nicht verwendet wird, wird diese Funktionalität stillschweigend fehlschlagen.
allow-popups-to-escape-sandbox: Erlaubt es einem sandgestrahlten Dokument, neue Fenster zu öffnen, ohne die Sandboxing-Flags auf diese zu erzwingen. Dies ermöglicht es beispielsweise, eine Drittanbieterwerbung sicher zu sandboxen, ohne dieselben Einschränkungen auf die Seite zu erzwingen, auf die die Anzeige verweist.
allow-presentation: Erlaubt Embedders die Kontrolle darüber, ob ein iframe eine Präsentationssitzung starten kann.
allow-same-origin: Wenn dieses Token nicht verwendet wird, wird die Ressource als von einem speziellen Ursprung stammend behandelt, der immer die Same-Origin-Policy fehlschlägt (was möglicherweise den Zugriff auf Datenspeicherung/Cookies und einige JavaScript-APIs verhindert).
allow-scripts: Erlaubt der Seite das Ausführen von Skripten (aber nicht das Erstellen von Pop-up-Fenstern). Wenn dieses Schlüsselwort nicht verwendet wird, ist diese Operation nicht erlaubt.
allow-storage-access-by-user-activation Experimentell: Lässt die Ressource den Zugriff auf die Speichermöglichkeiten des Elternteils mit der Storage Access API anfordern.
allow-top-navigation: Lässt die Ressource den Kontext der obersten Browserebene (den mit dem Namen _top) navigieren.
allow-top-navigation-by-user-activation: Lässt die Ressource den Kontext der obersten Browserebene navigieren, aber nur, wenn er durch eine Benutzeraktion initiiert wird.
allow-top-navigation-to-custom-protocols: Erlaubt Navigierungen zu nicht-http Protokollen, die im Browser integriert oder von einer Website registriert sind. Diese Funktionalität wird auch durch das allow-popups oder allow-top-navigation Schlüsselwort aktiviert.

Hinweis: Die Werte allow-top-navigation und verwandte Werte sind nur für eingebettete Dokumente (wie z.B. untergeordnete iframes) sinnvoll. Für eigenständige Dokumente haben diese Werte keine Wirkung, da der Kontext der obersten Browserebene das Dokument selbst ist.

Beispiele

http

Content-Security-Policy: sandbox allow-scripts;

Spezifikationen

Specification
Content Security Policy Level 3 # directive-sandbox

Browser-Kompatibilität

BCD tables only load in the browser

Siehe auch

Content-Security-Policy
sandbox Attribut auf <iframe> Elementen