Content-Security-Policy: sandbox-Direktive

Syntax

Content-Security-Policy: sandbox;
Content-Security-Policy: sandbox <value>;

wobei <value> optional einer der folgenden Werte sein kann:

allow-downloads

Erlaubt das Herunterladen von Dateien über ein <a>- oder <area>-Element mit dem download-Attribut, sowie durch eine Navigation, die zum Herunterladen einer Datei führt. Dies funktioniert unabhängig davon, ob der Benutzer auf den Link geklickt hat oder ob der Vorgang durch JS-Code ohne Benutzerinteraktion initiiert wurde.

allow-forms

Erlaubt der Seite das Absenden von Formularen. Wenn dieses Schlüsselwort nicht verwendet wird, wird das Formular normal angezeigt, aber das Absenden löst keine Eingabevalidierung, das Senden von Daten an einen Webserver oder das Schließen eines Dialogs aus.

allow-modals

Erlaubt der Seite das Öffnen von Modalfenstern durch Window.alert(), Window.confirm(), Window.print() und Window.prompt(), während das Öffnen eines <dialog> unabhängig von diesem Schlüsselwort erlaubt ist. Es erlaubt auch, dass die Seite das BeforeUnloadEvent-Ereignis empfängt.

allow-orientation-lock

Ermöglicht der Ressource, die Bildschirmorientierung zu sperren.

allow-pointer-lock

Erlaubt der Seite die Verwendung der Pointer Lock API.

allow-popups

Erlaubt Pop-ups (erzeugt beispielsweise durch Window.open() oder target="_blank"). Wenn dieses Schlüsselwort nicht verwendet wird, wird die Anzeige von Pop-ups stummgeschaltet.

allow-popups-to-escape-sandbox

Erlaubt einem dokumentierten Sandbox, neue Fenster zu öffnen, ohne die Sandbox-Flags auf sie zu erzwingen. Dies erlaubt es beispielsweise, dass eine Drittanbieter-Werbung sicher in eine Sandbox gesetzt wird, ohne dieselben Einschränkungen auf die Seite zu erzwingen, auf die die Anzeige verlinkt.

allow-presentation

Erlaubt den Einbettenden, die Kontrolle darüber zu haben, ob ein iframe eine Präsentationssitzung starten kann.

allow-same-origin

Erlaubt einer in der Sandbox befindlichen Ressource, ihren Ursprung beizubehalten. Eine in der Sandbox befindliche Ressource wird andernfalls als von einem undurchsichtigen Ursprung stammend betrachtet, was sicherstellt, dass sie stets bei Same-Origin-Policy-Prüfungen fehlschlägt und somit nicht auf localstorage und document.cookie und einige JavaScript-APIs zugreifen kann. Der Origin von in der Sandbox befindlichen Ressourcen ohne das allow-same-origin-Schlüsselwort ist null.

allow-scripts

Erlaubt der Seite, Skripte auszuführen (aber keine Pop-up-Fenster zu erstellen). Wenn dieses Schlüsselwort nicht verwendet wird, ist diese Aktion nicht erlaubt.

allow-storage-access-by-user-activation Experimentell

Erlaubt der Ressource, den Zugriff auf die Speicherfähigkeiten des Elternteils mit der Storage Access API anzufordern.

allow-top-navigation

Erlaubt der Ressource, den obersten Browsing-Kontext zu navigieren (denjenigen, der _top genannt wird).

allow-top-navigation-by-user-activation

Erlaubt der Ressource, den obersten Browsing-Kontext zu navigieren, aber nur, wenn es durch eine Benutzeraktion initiiert wird.

allow-top-navigation-to-custom-protocols

Erlaubt Navigationsvorgänge zu nicht-http-Protokollen, die in den Browser oder von einer Website registriert wurden. Diese Funktion wird auch durch das allow-popups- oder allow-top-navigation-Schlüsselwort aktiviert.

Beispiele

Content-Security-Policy: sandbox allow-scripts;

Spezifikationen

Browser-Kompatibilität

Siehe auch

• Content-Security-Policy
• sandbox-Attribut auf <iframe> Elementen