CSP:script-src-elem
HTTP Content-Security-Policy (CSP) 的 script-src-elem 指令指定 JavaScript <script> 元素的有效來源。
該指令僅指定 <script> 元素中的有效來源(包括指令碼請求和塊)。它不適用於其他可以觸發指令碼執行的 JavaScript 來源,例如內聯指令碼事件處理程式(onclick)、基於“unsafe-eval”檢查的指令碼執行方法 以及 XSLT 樣式表。(可以使用 script-src 為所有 JavaScript 指令碼來源指定有效來源,或者僅使用 script-src-attr 為內聯指令碼處理程式指定有效來源。)
| CSP 版本 | 3 |
|---|---|
| 指令型別 | 獲取指令 |
default-src 回退 |
是。如果該指令不存在,使用者代理將查詢 script-src 指令,如果這兩個指令都不存在,則回退到 default-src 指令。 |
語法
可以為 script-src-elem 策略允許一個或多個來源
http
Content-Security-Policy: script-src-elem <source>;
Content-Security-Policy: script-src-elem <source> <source>;
script-src-elem 可以與 script-src 結合使用
http
Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src-elem <source>;
來源
示例
違規情況
給定此 CSP 標頭
http
Content-Security-Policy: script-src-elem https://example.com/
…以下指令碼將被阻止,不會載入或執行
html
<script src="https://not-example.com/js/library.js"></script>
規範
| 規範 |
|---|
| 內容安全策略第 3 級 # 指令-script-src-elem |
瀏覽器相容性
BCD 表格僅在啟用 JavaScript 的瀏覽器中載入。