CSP: script-src-elem
Die HTTP-Header-Content-Security-Policy
-Richtlinie (CSP) script-src-elem
gibt gültige Quellen für JavaScript-<script>
-Elemente an.
Diese Richtlinie spezifiziert nur gültige Quellen in <script>
-Elementen (sowohl Skriptanfragen als auch Blöcke).
Sie gilt nicht für andere JavaScript-Quellen, die eine Skriptausführung auslösen können, wie z. B. Inline-Skriptereignishandler (onclick
), Skriptausführungsmethoden abhängig von der "unsafe-eval"-Prüfung und XSLT-Stylesheets.
(Gültige Quellen können für alle JavaScript-Skriptquellen mit script-src
oder nur für Inline-Skripthandler mit script-src-attr
angegeben werden.)
CSP-Version | 3 |
---|---|
Richtlinientyp | Fetch-Richtlinie |
default-src -Fallback |
Ja.
Wenn diese Richtlinie fehlt, sucht der User-Agent nach der script-src -Richtlinie. Wenn beide fehlen, wird auf die default-src -Richtlinie zurückgegriffen.
|
Syntax
Content-Security-Policy: script-src-elem 'none';
Content-Security-Policy: script-src-elem <source-expression-list>;
Diese Richtlinie kann einen der folgenden Werte aufweisen:
'none'
-
Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind zwingend erforderlich.
<source-expression-list>
-
Eine durch Leerzeichen getrennte Liste von Source-Expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Source-Expressions übereinstimmen. Für diese Richtlinie sind alle im Fetch-Richtlinien-Syntax aufgeführten Source-Expression-Werte anwendbar, mit Ausnahme von
'unsafe-hashes'
.
script-src-elem
kann in Verbindung mit script-src
verwendet werden:
Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src-elem <source>;
Beispiele
Verletzungsfall
Angenommen, dieser CSP-Header ist gesetzt:
Content-Security-Policy: script-src-elem https://example.com/
…dann wird das folgende Skript blockiert und nicht geladen oder ausgeführt:
<script src="https://not-example.com/js/library.js"></script>
Spezifikationen
Specification |
---|
Content Security Policy Level 3 # directive-script-src-elem |
Browser-Kompatibilität
Report problems with this compatibility data on GitHubdesktop | mobile | |||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
script-src-elem |
Legend
Tip: you can click/tap on a cell for more information.
- Full support
- Full support