Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten.Erfahre mehr über dieses Experiment.
Content-Security-Policy: child-src-Direktive
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since April 2017.
Die HTTP-Content-Security-Policy (CSP)child-src-Direktive definiert die gültigen Quellen fürWeb Workers und verschachtelte Browsing-Kontexte, die mithilfe von Elementen wie<frame> und<iframe> geladen werden. Für Workers werden nicht konforme Anfragen vom Benutzeragenten als fatale Netzfehler behandelt.
| CSP-Version | 2 |
|---|---|
| Direktiventyp | Fetch-Direktive |
default-src-Fallback | Ja. Wenn diese Direktive fehlt, sucht der Benutzeragent nach derdefault-src-Direktive. |
Syntax
Content-Security-Policy: child-src 'none';Content-Security-Policy: child-src <source-expression-list>;Diese Direktive kann einen der folgenden Werte haben:
'none'Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>Eine durch Leerzeichen getrennte Liste vonsource expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Source Expressions übereinstimmen. Für diese Direktive sind die folgenden Source Expression-Werte anwendbar:
Beispiele
Verletzungsfälle
Gegeben dieser CSP-Header:
Content-Security-Policy: child-src https://example.com/Dieses<iframe> und dieser Worker werden blockiert und nicht geladen:
<iframe src="https://not-example.com"></iframe><script> const blockedWorker = new Worker("data:text/javascript,…");</script>Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-child-src |