CSP: script-src-attr

Die HTTP-Content-Security-Policy (CSP) script-src-attr Direktive gibt gültige Quellen für JavaScript-Inline-Event-Handler an.

Diese Direktive spezifiziert nur gültige Quellen für Inline-Skript-Event-Handler wie onclick. Sie gilt nicht für andere JavaScript-Quellen, die Skriptausführung auslösen können, wie z. B. URLs, die direkt in <script>-Elemente geladen werden, oder XSLT-Stylesheets. (Gültige Quellen für alle JavaScript-Skriptquellen können mit script-src angegeben werden, oder nur für <script>-Elemente mit script-src-elem.)

CSP-Version 3
Direktivtyp Fetch directive
default-src Fallback Ja. Wenn diese Direktive fehlt, prüft der User-Agent die script-src-Direktive, und falls beide fehlen, erfolgt ein Fallback auf die default-src-Direktive.

Syntax

http
Content-Security-Policy: script-src-attr 'none';
Content-Security-Policy: script-src-attr <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von Source-Expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Source-Expressions übereinstimmen. Für diese Direktive sind die folgenden Source-Expression-Werte anwendbar:

script-src-attr kann zusammen mit script-src verwendet werden und überschreibt diese Direktive für Prüfungen an Inline-Handlern:

http
Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src-attr <source>;

Beispiele

Verletzungsfall

Gegeben diesem CSP-Header:

http
Content-Security-Policy: script-src-attr 'none'

…wird der folgende Inline-Event-Handler blockiert und nicht geladen oder ausgeführt:

html
<button id="btn" onclick="doSomething()"></button>

Beachten Sie, dass Sie im Allgemeinen Inline-Event-Handler durch Aufrufe von addEventListener ersetzen sollten:

js
document.getElementById("btn").addEventListener("click", doSomething);

Spezifikationen

Specification
Content Security Policy Level 3
# directive-script-src-attr

Browser-Kompatibilität

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
script-src-attr

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support

Siehe auch