Die HTTPContent-Security-Policybase-uri Direktive beschränkt die URLs, die im<base> Element eines Dokuments verwendet werden können. Wenn dieser Wert fehlt, ist jede URI erlaubt. Fehlt diese Direktive, verwendet der Benutzeragent den Wert im<base> Element.

Syntax

Content-Security-Policy: base-uri 'none';Content-Security-Policy: base-uri <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Es darf keine Basis-URI über ein<base> Element gesetzt werden. Die einfachen Anführungszeichen sind verpflichtend.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste vonsource expression Werten. Ein<base> Element kann eine Basis-URI setzen, wenn sein Wert mit einem der angegebenen Quellausdrücke übereinstimmt. Für diese Direktive sind die folgenden Quellausdruckswerte anwendbar:

• <host-source>
• <scheme-source>
• 'self'

Beispiele

Meta-Tag-Konfiguration

<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" />

Apache-Konfiguration

<IfModule mod_headers.c>Header set Content-Security-Policy "base-uri 'self'";</IfModule>

Nginx-Konfiguration

add_header Content-Security-Policy "base-uri 'self';"

Verletzungsfall

Da Ihre Domain nichtexample.com ist, wird ein<base> Element mit seinemhref aufhttps://example.com eingestellt, zu einer CSP-Verletzung führen.

<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" /><base href="https://example.com/" /><!--// Error: Refused to set the document's base URI to 'https://example.com/'// because it violates the following Content Security Policy// directive: "base-uri 'self'"-->

Spezifikationen

Browser-Kompatibilität

Siehe auch

• Content-Security-Policy
• <base>
• Node.baseURI