Content-Security-Policy: script-src-attr Direktive

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since December 2022.

Die HTTP-Content-Security-Policy (CSP) script-src-attr-Direktive gibt gültige Quellen für JavaScript-Inline-Ereignishandler an.

Diese Direktive spezifiziert nur gültige Quellen für Inline-Skript-Ereignishandler wie onclick. Sie gilt nicht für andere JavaScript-Quellen, die eine Skriptausführung auslösen können, wie URLs, die direkt in <script>-Elemente und XSLT-Stylesheets geladen werden. (Gültige Quellen können für alle JavaScript-Skriptquellen mit script-src angegeben werden, oder nur für <script>-Elemente mit script-src-elem.)

CSP-Version 3
Direktiventyp Fetch-Direktive
default-src Fallback Ja. Wenn diese Direktive fehlt, sucht der User-Agent nach der script-src-Direktive, und wenn beide fehlen, wird auf die default-src-Direktive zurückgegriffen.

Syntax

http
Content-Security-Policy: script-src-attr 'none';
Content-Security-Policy: script-src-attr <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von Quellausdruck-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quellausdruckswerte anwendbar:

script-src-attr kann in Verbindung mit script-src verwendet werden und wird diese Direktive bei Prüfungen von Inline-Handlern überschreiben:

http
Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src-attr <source>;

Beispiele

Verstoßfall

Angenommen, dieser CSP-Header:

http
Content-Security-Policy: script-src-attr 'none'

…wird der folgende Inline-Ereignishandler blockiert und nicht geladen oder ausgeführt:

html
<button id="btn" onclick="doSomething()"></button>

Beachten Sie, dass Inline-Ereignishandler im Allgemeinen durch addEventListener-Aufrufe ersetzt werden sollten:

js
document.getElementById("btn").addEventListener("click", doSomething);

Spezifikationen

Specification
Content Security Policy Level 3
# directive-script-src-attr

Browser-Kompatibilität

Siehe auch