Content-Security-Policy: script-src-elem 指令
HTTP Content-Security-Policy (CSP) script-src-elem 指令指定 JavaScript <script> 元素的有效來源。
此指令僅指定 <script> 元素(包括指令碼請求和程式碼塊)中的有效來源。它不適用於其他可觸發指令碼執行的 JavaScript 來源,例如內聯指令碼事件處理程式 (onclick)、透過“unsafe-eval”檢查控制的指令碼執行方法以及 XSLT 樣式表。(可以使用 script-src 為所有 JavaScript 指令碼來源指定有效來源,或者只使用 script-src-attr 為內聯指令碼處理程式指定有效來源。)
| CSP 版本 | 3 |
|---|---|
| 指令型別 | 獲取指令 |
default-src 回退 |
是的。如果此指令缺失,使用者代理將查詢 script-src 指令,如果兩者都缺失,則回退到 default-src 指令。 |
語法
http
Content-Security-Policy: script-src-elem 'none';
Content-Security-Policy: script-src-elem <source-expression-list>;
此指令可以具有以下值之一
'none'-
不允許載入此型別的任何資源。單引號是強制性的。
<source-expression-list>-
一個空格分隔的源表示式值列表。如果此型別的資源與任何給定的源表示式匹配,則可以載入它們。對於此指令,Fetch 指令語法中列出的任何源表示式值都適用,但
'unsafe-hashes'除外。
script-src-elem 可以與 script-src 結合使用
http
Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src-elem <source>;
示例
違規案例
給定此 CSP 頭
http
Content-Security-Policy: script-src-elem https://example.com/
...以下指令碼被阻止,不會被載入或執行
html
<script src="https://not-example.com/js/library.js"></script>
規範
| 規範 |
|---|
| 內容安全策略級別 3 # directive-script-src-elem |
瀏覽器相容性
載入中…