CSP: script-src-attr
Die HTTP-Richtlinie Content-Security-Policy (CSP) script-src-attr legt gültige Quellen für JavaScript-Inline-Event-Handler fest.
Diese Richtlinie legt nur gültige Quellen für Inline-Skript-Event-Handler wie onclick fest.
Sie gilt nicht für andere JavaScript-Quellen, die Skriptausführung auslösen können, wie URLs, die direkt in <script>-Elemente und XSLT-Stylesheets geladen werden.
(Gültige Quellen können für alle JavaScript-Skriptquellen mit script-src oder nur für <script>-Elemente mit script-src-elem festgelegt werden.)
| CSP-Version | 3 |
|---|---|
| Richtlinientyp | Abrufrichtlinie |
default-src Fallback |
Ja.
Ist diese Richtlinie nicht vorhanden, sucht der User-Agent nach der script-src-Richtlinie, und wenn beide fehlen, wird auf die default-src-Richtlinie zurückgegriffen.
|
Syntax
Content-Security-Policy: script-src-attr 'none';
Content-Security-Policy: script-src-attr <source-expression-list>;
Diese Richtlinie kann einen der folgenden Werte haben:
'none'-
Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Source-Expressions. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einer der angegebenen Source-Expressions übereinstimmen. Für diese Richtlinie sind folgende Source-Expressions anwendbar:
script-src-attr kann in Verbindung mit script-src verwendet werden und wird diese Richtlinie für Prüfungen von Inline-Handlern überschreiben:
Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src-attr <source>;
Beispiele
Verstoßfall
Angenommen, dieser CSP-Header:
Content-Security-Policy: script-src-attr 'none'
… dann wird der folgende Inline-Event-Handler blockiert und weder geladen noch ausgeführt:
<button id="btn" onclick="doSomething()"></button>
Beachten Sie, dass Sie im Allgemeinen Inline-Event-Handler durch addEventListener-Aufrufe ersetzen sollten:
document.getElementById("btn").addEventListener("click", doSomething);
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-script-src-attr |
Browser-Kompatibilität
Report problems with this compatibility data on GitHub| desktop | mobile | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
script-src-attr | ||||||||||||
Legend
Tip: you can click/tap on a cell for more information.
- Full support
- Full support