Content-Security-Policy : directive worker-src
Baseline
Large disponibilité
Cette fonctionnalité est bien établie et fonctionne sur de nombreux appareils et versions de navigateurs. Elle est disponible sur tous les navigateurs depuis mai 2022.
La directive HTTP Content-Security-Policy (CSP) worker-src définit les sources valides pour les scripts de type Worker, SharedWorker ou ServiceWorker.
| Version de CSP | 3 |
|---|---|
| Type de directive | Directive de récupération |
| Solution de repli |
Si cette directive est absente, l'agent utilisateur consultera d'abord la directive child-src, puis la directive script-src et enfin la directive default-src.
|
Syntaxe
Content-Security-Policy: worker-src 'none';
Content-Security-Policy: worker-src <source-expression-list>;
Cette directive peut avoir l'une des valeurs suivantes :
'none'-
Aucune ressource de ce type ne peut être chargée. Les guillemets simples sont obligatoires.
<source-expression-list>-
Une liste de valeurs d'expression de source séparées par des espaces. Les ressources de ce type peuvent être chargées si elles correspondent à l'une des expressions de source données. Pour cette directive, les valeurs d'expression de source suivantes sont applicables :
Exemples
>Cas de violation
Soit cet en-tête CSP :
Content-Security-Policy: worker-src https://exemple.com/
Worker, SharedWorker, ServiceWorker seront bloqués et ne seront pas chargés :
<script>
let blockedWorker = new Worker("data:application/javascript,...");
blockedWorker = new SharedWorker("https://hors-exemple.com/");
navigator.serviceWorker.register("https://hors-exemple.com/sw.js");
</script>
Spécifications
| Spécification |
|---|
| Content Security Policy Level 3> # directive-worker-src> |
Compatibilité des navigateurs
Voir aussi
- L'en-tête
Content-Security-Policy - Les CSP pour les Workers
- Les interfaces API
Worker,SharedWorker,ServiceWorker