Content-Security-Policy : directive child-src
Baseline
Large disponibilité
Cette fonctionnalité est bien établie et fonctionne sur de nombreux appareils et versions de navigateurs. Elle est disponible sur tous les navigateurs depuis avril 2017.
La directive HTTP Content-Security-Policy (CSP) child-src définit les sources valides de web workers et de contextes de navigations imbriqués chargés au moyen d'éléments tels que <frame> et <iframe>. Pour les workers, les requêtes non-conformes sont traitées comme des erreurs de réseau fatales par l'agent utilisateur.
| Version de CSP | 2 |
|---|---|
| Type de directive | Directive de récupération |
Solution de repli default-src |
Oui, si cette directive est absente, l'agent utilisateur consultera la directive default-src
|
Syntaxe
Content-Security-Policy: child-src 'none';
Content-Security-Policy: child-src <source-expression-list>;
Cette directive peut avoir l'une des valeurs suivantes :
'none'-
Aucune ressource de ce type ne peut être chargée. Les guillemets simples sont obligatoires.
<source-expression-list>-
Une liste d'expressions de source séparées par des espaces. Les ressources de ce type peuvent être chargées si elles correspondent à l'une des expressions de source données. Pour cette directive, les valeurs d'expression de source suivantes sont applicables :
Exemples
>Cas de violation
Soit cet en-tête CSP :
Content-Security-Policy: child-src https://example.com/
Cette <iframe> et ce worker seront bloqués et ne se chargeront pas :
<iframe src="https://not-example.com"></iframe>
<script>
const blockedWorker = new Worker("data:text/javascript,…");
</script>
Spécifications
| Spécification |
|---|
| Content Security Policy Level 3> # directive-child-src> |
Compatibilité des navigateurs
Voir aussi
- L'en-tête
Content-Security-Policy - Les éléments HTML
<frame>et<iframe> - Les interfaces API
Worker,SharedWorker,ServiceWorker