La directive HTTPContent-Security-Policybase-uri restreint les URL qui peuvent être utilisées comme valeur d'un élément<base>. Si cette valeur est absente, alors toutes les adresses sont autorisées. Si cette directive est absente, l'agent utilisateur utilisera la valeur de l'élément<base>.

Syntaxe

Une ou plusieurssources peuvent être autorisées pour cette directive :

Content-Security-Policy: base-uri <source>;Content-Security-Policy: base-uri <source> <source>;

Sources

Cette directive utilise en grande partie les mêmes valeurs de source comme arguments que les autres directives CSP :valeurs sources pour CSP.

On notera toutefois que certaines de ces valeurs n'ont pas de sens pourbase-uri, à l'instar des mots-clés'unsafe-inline' et'strict-dynamic'.

Exemples

Configuration avec la balise<meta>

<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" />

Configuration avec Apache

<IfModule mod_headers.c>  Header set Content-Security-Policy "base-uri 'self'";</IfModule>

Configuration avec Nginx

add_header Content-Security-Policy "base-uri 'self';"

Cas de violation

À partir du moment où votre domaine n'est pasexample.com, un élément<base> avec son attributhref défini àhttps://example.com résultera en une violation de CSP.

<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" /><base href="https://example.com/" /><!--Error: Refused to set the document's base URI to 'https://example.com/'because it violates the following Content Security Policydirective: "base-uri 'self'"-->

Spécifications

Compatibilité des navigateurs

Voir aussi

• Content-Security-Policy
• <base>
• Node.baseURI