Cette page a été traduite à partir de l'anglais par la communauté.Vous pouvez contribuer en rejoignant la communauté francophone sur MDN Web Docs.
CSP : child-src
Baseline Widely available
Cette fonctionnalité est bien établie et fonctionne sur de nombreux appareils et versions de navigateurs. Elle est disponible sur tous les navigateurs depuis avril 2017.
La directive HTTPContent-Security-Policychild-src définit les sources valides deweb workers et de contextes de navigations imbriqués chargés au moyen d'éléments tels que<frame> et<iframe>. Pour lesworkers, les requêtes non-conformes sont traitées comme des erreurs de réseau fatales par l'agent utilisateur.
| Version de CSP | 2 |
|---|---|
| Type de directive | Directive de récupération |
Utilisation dedefault-src par défaut | Oui, si cette directive est absente, l'agent utilisateur consultera la directivedefault-src |
Syntaxe
Une ou plusieurs sources peuvent être autorisées pour cette directive :
Content-Security-Policy: child-src <source>;Content-Security-Policy: child-src <source> <source>;Sources
<source> peut être n'importe quelle valeur parmi celles énumérées dansl'article sur les valeurs sources CSP.
On notera que cet ensemble de valeurs peut être utilisé pour toutes lesdirectives de récupération (et pourcertaines autres directives).
Exemples
Cas de violation
Soit cet en-tête CSP :
Content-Security-Policy: child-src https://example.com/Cette<iframe> et ceworker seront bloqués et ne se chargeront pas :
<iframe src="https://not-example.com"></iframe><script> let blockedWorker = new Worker("data:application/javascript,...");</script>Spécifications
| Specification |
|---|
| Content Security Policy Level 3 # directive-child-src |