CSP: style-src-elem
Der HTTP-Header Content-Security-Policy (CSP) style-src-elem Direktive legt gültige Quellen für Stylesheet-<style>-Elemente und <link>-Elemente mit rel="stylesheet" fest.
Die Direktive definiert keine gültigen Quellen für inline-Style-Attribute; diese werden mit style-src-attr gesetzt (und gültige Quellen für alle Styles können mit style-src festgelegt werden).
| CSP Version | 3 |
|---|---|
| Direktivtyp | Fetch-Direktive |
default-src Fallback |
Ja.
Wenn diese Direktive fehlt, sucht der User-Agent nach der |
Syntax
Content-Security-Policy: style-src-elem 'none';
Content-Security-Policy: style-src-elem <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'-
Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Source-Expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Source-Expressions übereinstimmen.
Source-Expressions werden als Schlüsselwortwerte oder URL-Muster angegeben: Die Syntax für jede Source-Expression ist in CSP-Quellen-Werte beschrieben.
style-src-elem kann zusammen mit style-src verwendet werden:
Content-Security-Policy: style-src <source>;
Content-Security-Policy: style-src-elem <source>;
Beispiele
Verstöße
Angenommen, dieser CSP-Header:
Content-Security-Policy: style-src-elem https://example.com/
…die folgenden Stylesheets werden blockiert und nicht geladen:
<link href="https://not-example.com/styles/main.css" rel="stylesheet" />
<style>
#inline-style {
background: red;
}
</style>
<style>
@import url("https://not-example.com/styles/print.css") print;
</style>
…sowie Styles, die mit dem Link-Header geladen werden:
Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-style-src-elem |
Browser-Kompatibilität
BCD tables only load in the browser