CSP: script-src-elem

Die HTTP-Header-Content-Security-Policy-Richtlinie (CSP) script-src-elem gibt gültige Quellen für JavaScript-<script>-Elemente an.

Diese Richtlinie spezifiziert nur gültige Quellen in <script>-Elementen (sowohl Skriptanfragen als auch Blöcke). Sie gilt nicht für andere JavaScript-Quellen, die eine Skriptausführung auslösen können, wie z. B. Inline-Skriptereignishandler (onclick), Skriptausführungsmethoden abhängig von der "unsafe-eval"-Prüfung und XSLT-Stylesheets. (Gültige Quellen können für alle JavaScript-Skriptquellen mit script-src oder nur für Inline-Skripthandler mit script-src-attr angegeben werden.)

CSP-Version 3
Richtlinientyp Fetch-Richtlinie
default-src-Fallback Ja. Wenn diese Richtlinie fehlt, sucht der User-Agent nach der script-src-Richtlinie. Wenn beide fehlen, wird auf die default-src-Richtlinie zurückgegriffen.

Syntax

http
Content-Security-Policy: script-src-elem 'none';
Content-Security-Policy: script-src-elem <source-expression-list>;

Diese Richtlinie kann einen der folgenden Werte aufweisen:

'none'

Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind zwingend erforderlich.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von Source-Expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Source-Expressions übereinstimmen. Für diese Richtlinie sind alle im Fetch-Richtlinien-Syntax aufgeführten Source-Expression-Werte anwendbar, mit Ausnahme von 'unsafe-hashes'.

script-src-elem kann in Verbindung mit script-src verwendet werden:

http
Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src-elem <source>;

Beispiele

Verletzungsfall

Angenommen, dieser CSP-Header ist gesetzt:

http
Content-Security-Policy: script-src-elem https://example.com/

…dann wird das folgende Skript blockiert und nicht geladen oder ausgeführt:

html
<script src="https://not-example.com/js/library.js"></script>

Spezifikationen

Specification
Content Security Policy Level 3
# directive-script-src-elem

Browser-Kompatibilität

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
script-src-elem

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support

Siehe auch