1. Web
  2. HTTP
  3. Reference
  4. Headers
  5. Content-Security-Policy
  6. style-src-elem

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

Content-Security-Policy: style-src-elem Direktive

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since ⁨Dezember 2022⁩.

Die HTTP Content-Security-Policy (CSP) style-src-elem Direktive gibt gültige Quellen für die Stylesheet-<style>-Elemente und <link>-Elemente mit rel="stylesheet" an.

Die Direktive legt keine gültigen Quellen für Inline-Style-Attribute fest; diese werden mit style-src-attr festgelegt (und gültige Quellen für alle Styles können mit style-src festgelegt werden).

CSP-Version 3
Direktivtyp Fetch-Direktive
default-src Fallback

Ja. Wenn diese Direktive fehlt, wird der User-Agent nach der style-src-Direktive suchen, und wenn beide fehlen, wird auf die default-src-Direktive zurückgegriffen.

Syntax

http
Content-Security-Policy: style-src-elem 'none';
Content-Security-Policy: style-src-elem <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von Source Expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Source Expressions übereinstimmen. Für diese Direktive sind die gleichen Source Expression-Werte anwendbar wie für style-src, mit Ausnahme von 'unsafe-hashes'.

style-src-elem kann in Verbindung mit style-src verwendet werden:

http
Content-Security-Policy: style-src <source>;
Content-Security-Policy: style-src-elem <source>;

Beispiele

Verletzungsfälle

Angenommen, dieser CSP-Header:

http
Content-Security-Policy: style-src-elem https://example.com/

…werden die folgenden Stylesheets blockiert und nicht geladen:

html
<link href="https://not-example.com/styles/main.css" rel="stylesheet" />

<style>
  #inline-style {
    background: red;
  }
</style>

<style>
  @import "https://not-example.com/styles/print.css" print;
</style>

…sowie Styles, die mit dem Link-Header geladen werden:

http
Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet

Spezifikationen

Specification
Content Security Policy Level 3
# directive-style-src-elem

Browser-Kompatibilität

Siehe auch

Help improve MDN

Learn how to contribute Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden