CSP: object-src

HTTP の Content-Security-Policyobject-src ディレクティブは、 <object>, <embed>, <applet> の各要素の妥当なソースを指定します。

<object>, <embed>, <applet> の各要素の許可される種類を設定するには、 plugin-types ディレクティブを使用してください。

object-src で制御される要素は、おそらく偶然にも古い HTML 要素と見なされており、新しい標準機能が搭載されていません (<iframe>sandboxallow などのセキュリティ属性など)。したがって、このフェッチディレクティブで制限することを推奨します (例えば、可能であれば明示的に object-src 'none' を設定するなど)。

CSP バージョン 1
ディレクティブ種別 フェッチディレクティブ
default-src による代替 あり。このディレクティブがない場合、ユーザーエージェントは default-src ディレクティブを探します。

構文

object-src ポリシーには、1つまたは複数のソースが許可されています。

Content-Security-Policy: object-src <source>;
Content-Security-Policy: object-src <source> <source>;

ソース

<source> は以下のうちの一つを採ることができます。

<host-source>
インターネットホストの名前または IP アドレスで、同様に任意で URL スキームやポート番号も指定することができます。サイトのアドレスはワイルドカード (アスタリスク文字、 '*') で始めることもでき、またポート番号にワイルドカード (同様に、 '*') を使用して、ソースのすべての違法でないポートが有効であることを示すことができます。
例:
  • http://*.example.com: example.com の何れかのサブドメインから、 http: URL スキームを使用して読み込むすべての試みに一致します。
  • mail.example.com:443: mail.example.com の443番ポートへアクセスするすべての試みに一致します。
  • https://store.example.com: store.example.com から https: を使用して読み込むhすべての試みに一致します。
<scheme-source>
'http:' または 'https:' などのスキーマです。コロンは必須で、単一引用符は使用しません。データスキーマを指定することもできます (お勧めしません)。
  • data: では data: URI をコンテンツのソースとして使用することができます。これは安全ではありません。攻撃者が任意の data: URI を挿入することができます。この使用は控えめにして、スクリプトでは使用しないでください。
  • mediastream: では mediastream: URI をコンテンツのソースとして使用することができます。
  • blob: では blob: URI をコンテンツのソースとして使用することができます。
  • filesystem: では filesystem: URI をコンテンツのソースとして使用することができます。
'self'
保護された文書が提供された、同じ URL スキーム、同じポート番号のオリジンを示します。単一引用符を含める必要があります。ブラウザーによっては、 source ディレクティブから blobfilesystem を特別に除外します。これらの種類のコンテンツを許可する必要がある場合は、 data 属性を使用して指定することができます。
'unsafe-inline'
インラインの <script> 要素、 javascript: URL、インラインイベントハンドラー、インラインの <style> 要素などのインラインリソースを使用することを許可します。単一引用符を含める必要があります。
'unsafe-eval'
文字列からコードを生成するために eval() および同等のメソッドを使用することを許可します。単一引用符を含める必要があります。
'none'
空のセット、つまり一致する URL がないことを示します。単一引用符が必要です。
'nonce-<base64-value>'
暗号化ノンス (一度だけ使われる数値) を使用する特定のインラインスクリプトのためのホワイトリストです。サーバーはポリシーを転送するたびに固有のノンスを生成する必要があります。リソースのポリシーを他の方法で回避することを難しくするため、推測できないノンスを提供することが重要です。例えば安全でないインラインスクリプトを参照してください。ノンスを指定すると、最近のブラウザーは、ノンスの対応がない古いブラウザーのために設定されている可能性がある 'unsafe-inline' を無視するようになります。
'<hash-algorithm>-<base64-value>'
スクリプトまたはスタイルの sha256, sha384, sha512 の何れかのハッシュです。このソースは、ハッシュを生成するために使用する暗号化アルゴリズムと、スクリプトまたはスタイルのハッシュを base64 でエンコードしたものの二つの部分をダッシュで区切ったもので構成されます。ハッシュを生成するときは、 <script> または <style> タグを含めないようにし、大文字・小文字の区別と、ホワイトスペースの扱い (先頭や末尾のホワイトスペースを含む) に注意してください。例えば安全でないインラインスクリプトを参照してください。 CSP 2.0 では、これはインラインスクリプトにのみ適用されます。 CSP 3.0 では script-src で外部スクリプトが指定された場合にも利用できます。

違反例

この CSP ヘッダーがある場合、

Content-Security-Policy: object-src https://example.com/

以下の <object>, <embed>, <applet> の各要素はブロックされ、読み込まれません。

<embed src="https://not-example.com/flash"></embed>
<object data="https://not-example.com/plugin"></object> 
<applet archive="https://not-example.com/java"></applet>

仕様書

仕様書 状態 備考
Content Security Policy Level 3
object-src の定義
草案 変更なし
Content Security Policy Level 2
object-src の定義
勧告 初回定義

ブラウザーの互換性

Update compatibility data on GitHub
デスクトップモバイル
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewAndroid 版 ChromeAndroid 版 FirefoxAndroid 版 OperaiOSのSafariSamsung Internet
object-srcChrome 完全対応 25Edge 完全対応 14Firefox 完全対応 23IE 未対応 なしOpera 完全対応 15Safari 完全対応 7WebView Android 完全対応 ありChrome Android 完全対応 ありFirefox Android 完全対応 23Opera Android ? Safari iOS 完全対応 7.1Samsung Internet Android 完全対応 あり

凡例

完全対応  
完全対応
未対応  
未対応
実装状況不明  
実装状況不明

関連情報

ドキュメントのタグと貢献者

このページの貢献者: mfuji09
最終更新者: mfuji09,