CSP: default-src
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Die HTTP Content-Security-Policy (CSP) default-src Direktive dient als Fallback für die anderen CSP-Abrufdirektiven. Für jede der folgenden Direktiven, die fehlen, sucht der Benutzer-Agent nach der default-src Direktive und verwendet diesen Wert dafür:
child-srcconnect-srcfont-srcframe-srcimg-srcmanifest-srcmedia-srcobject-srcprefetch-srcscript-srcscript-src-elemscript-src-attrstyle-srcstyle-src-elemstyle-src-attrworker-src
| CSP-Version | 1 |
|---|---|
| Direktivtyp | Abrufdirektive |
Syntax
Content-Security-Policy: default-src 'none';
Content-Security-Policy: default-src <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'-
Es dürfen keine Ressourcen geladen werden. Die einfachen Anführungszeichen sind zwingend erforderlich.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Quell-Ausdrucks-Werten. Ressourcen dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen. Für diese Direktive sind alle in der Abrufdirektivs-Syntax aufgeführten Quellausdruckswerte anwendbar.
Beispiele
Keine Vererbung mit default-src
Wenn andere Direktiven spezifiziert sind, beeinflusst default-src diese nicht. Der folgende Header:
Content-Security-Policy: default-src 'self'; script-src https://example.com
ist gleich wie:
Content-Security-Policy: connect-src 'self';
font-src 'self';
frame-src 'self';
img-src 'self';
manifest-src 'self';
media-src 'self';
object-src 'self';
script-src https://example.com;
style-src 'self';
worker-src 'self'
Firefox default-src: none SVG-Sprite-Blockierungsproblem
Hinweis: Dieses Problem wurde in Firefox 132 behoben; siehe Bug 1773976.
Bei der Erstellung einer CSP können Sie mit default-src 'none' beginnen, um das Laden von Ressourcen vollständig zu sperren, und dann weitere Direktiven hinzufügen, um die Richtlinie zu öffnen und nur die benötigten Ressourcen zu laden. Beispielsweise, um das Laden von Bildern am gleichen Ursprung zu erlauben:
Content-Security-Policy: default-src 'none'; img-src 'self'
Es gibt jedoch ein Problem. Wenn Sie SVG-Sprites einbetten, die in externen Dateien über das <use>-Element definiert sind, zum Beispiel:
<svg>
<use href="/images/icons.svg#icon"/>
</svg>
werden Ihre SVG-Bilder in Firefox blockiert, wenn Sie eine default-src 'none'-Richtlinie festgelegt haben. Firefox behandelt das SVG nicht wie ein eingebettetes Bild, wie es andere Browser tun, daher erlaubt img-src 'self' ihnen nicht geladen zu werden. Sie müssen default-src 'self' verwenden, wenn Sie möchten, dass Ihre externen Sprites in Firefox geladen werden.
Alternativ, wenn default-src 'none' eine feste Anforderung ist, können Sie die SVG-Sprites direkt in die HTML-Seite einfügen:
<body>
<svg style="display: none">
<symbol id="icon" viewBox="0 0 24 24">
<path d="…" />
</symbol>
</svg>
…
<svg>
<use href="#icon" />
</svg>
</body>
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-default-src |