CSP: script-src-attr
Die HTTP-Content-Security-Policy
(CSP) script-src-attr
Direktive gibt gültige Quellen für JavaScript-Inline-Event-Handler an.
Diese Direktive spezifiziert nur gültige Quellen für Inline-Skript-Event-Handler wie onclick
.
Sie gilt nicht für andere JavaScript-Quellen, die Skriptausführung auslösen können, wie z. B. URLs, die direkt in <script>
-Elemente geladen werden, oder XSLT-Stylesheets.
(Gültige Quellen für alle JavaScript-Skriptquellen können mit script-src
angegeben werden, oder nur für <script>
-Elemente mit script-src-elem
.)
CSP-Version | 3 |
---|---|
Direktivtyp | Fetch directive |
default-src Fallback |
Ja.
Wenn diese Direktive fehlt, prüft der User-Agent die script-src -Direktive, und falls beide fehlen, erfolgt ein Fallback auf die default-src -Direktive.
|
Syntax
Content-Security-Policy: script-src-attr 'none';
Content-Security-Policy: script-src-attr <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'
-
Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>
-
Eine durch Leerzeichen getrennte Liste von Source-Expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Source-Expressions übereinstimmen. Für diese Direktive sind die folgenden Source-Expression-Werte anwendbar:
script-src-attr
kann zusammen mit script-src
verwendet werden und überschreibt diese Direktive für Prüfungen an Inline-Handlern:
Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src-attr <source>;
Beispiele
Verletzungsfall
Gegeben diesem CSP-Header:
Content-Security-Policy: script-src-attr 'none'
…wird der folgende Inline-Event-Handler blockiert und nicht geladen oder ausgeführt:
<button id="btn" onclick="doSomething()"></button>
Beachten Sie, dass Sie im Allgemeinen Inline-Event-Handler durch Aufrufe von addEventListener
ersetzen sollten:
document.getElementById("btn").addEventListener("click", doSomething);
Spezifikationen
Specification |
---|
Content Security Policy Level 3 # directive-script-src-attr |
Browser-Kompatibilität
Report problems with this compatibility data on GitHubdesktop | mobile | |||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
script-src-attr |
Legend
Tip: you can click/tap on a cell for more information.
- Full support
- Full support