Content-Security-Policy: sandbox-Direktive
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since November 2016.
Die HTTP-Content-Security-Policy (CSP) sandbox-Direktive aktiviert eine Sandbox für die angeforderte Ressource, ähnlich dem <iframe>-sandbox-Attribut.
Sie legt Beschränkungen für die Aktionen einer Seite fest, einschließlich der Verhinderung von Pop-ups, der Ausführung von Plugins und Skripten sowie der Durchsetzung einer Same-Origin-Policy.
| CSP-Version | 1.1 / 2 |
|---|---|
| Direktiventyp | Dokumentdirektive |
Diese Direktive wird nicht im <meta>-Element oder durch das Content-Security-policy-Report-Only Header-Feld unterstützt.
|
|
Syntax
Content-Security-Policy: sandbox;
Content-Security-Policy: sandbox <value>;
wobei <value> optional einer der folgenden Werte sein kann:
allow-downloads-
Erlaubt das Herunterladen von Dateien über ein
<a>oder<area>-Element mit dem download-Attribut sowie durch die Navigation, die zu einem Dateidownload führt. Dies funktioniert unabhängig davon, ob der Benutzer auf den Link geklickt hat oder der JS-Code dies ohne Benutzerinteraktion initiiert hat. allow-forms-
Erlaubt der Seite das Absenden von Formularen. Wenn dieses Stichwort nicht verwendet wird, wird das Formular normal angezeigt, aber das Absenden wird keine Eingabevalidierung auslösen, Daten an einen Webserver senden oder einen Dialog schließen.
allow-modals-
Erlaubt der Seite das Öffnen von modalen Fenstern über
Window.alert(),Window.confirm(),Window.print()undWindow.prompt(), während das Öffnen eines<dialog>unabhängig von diesem Stichwort erlaubt ist. Es erlaubt auch der Seite, dasBeforeUnloadEvent-Ereignis zu empfangen. allow-orientation-lock-
Ermöglicht der Ressource das Sperren der Bildschirmorientierung.
allow-pointer-lock-
Erlaubt der Seite die Verwendung der Pointer Lock API.
allow-popups-
Erlaubt Pop-ups (erstellt beispielsweise durch
Window.open()odertarget="_blank"). Wenn dieses Stichwort nicht verwendet wird, schlägt die Anzeige von Pop-ups stillschweigend fehl. allow-popups-to-escape-sandbox-
Erlaubt einem in der Sandbox befindlichen Dokument, neue Fenster zu öffnen, ohne dass die Sandboxing-Flags darauf angewendet werden. Dies ermöglicht es beispielsweise, eine Drittanbieter-Werbung sicher zu sandboxen, ohne die gleichen Einschränkungen auf die Seite zu erzwingen, auf die die Werbung verlinkt.
allow-presentation-
Erlaubt den Einbettenden die Kontrolle darüber, ob ein iframe eine Präsentationssitzung starten kann.
allow-same-origin-
Wenn dieses Token nicht verwendet wird, wird die Ressource als von einem speziellen Ursprung angesehen, der immer an der Same-Origin-Policy scheitert (was potenziell den Zugriff auf Datenspeicherung/Cookies und einige JavaScript-APIs verhindert).
allow-scripts-
Erlaubt der Seite das Ausführen von Skripten (aber nicht das Erstellen von Pop-up-Fenstern). Wenn dieses Stichwort nicht verwendet wird, ist dieser Vorgang nicht erlaubt.
allow-storage-access-by-user-activationExperimentell-
Erlaubt der Ressource, Zugriff auf die Speicherkapazitäten des Elternteils mit der Storage Access API anzufordern.
-
Erlaubt der Ressource die Navigation des Top-Level-Browsing-Kontextes (desjenigen namens
_top). -
Erlaubt der Ressource die Navigation des Top-Level-Browsing-Kontextes, aber nur wenn dies durch eine Benutzeraktion initiiert wird.
-
Erlaubt Navigationen zu nicht-
http-Protokollen, die im Browser eingebaut oder von einer Website registriert wurden. Diese Funktion wird auch durch dasallow-popupsoderallow-top-navigationSchlüsselwort aktiviert.
Hinweis:
Die Werte allow-top-navigation und verwandte Werte machen nur für eingebettete Dokumente (wie Kinder-Ifames) Sinn. Für eigenständige Dokumente haben diese Werte keine Wirkung, da der Top-Level-Browsing-Kontext das Dokument selbst ist.
Beispiele
Content-Security-Policy: sandbox allow-scripts;
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-sandbox |
Browser-Kompatibilität
Siehe auch
Content-Security-Policysandbox-Attribut auf<iframe>Elementen