Content-Security-Policy: worker-src-Direktive

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since ⁨Mai 2022⁩.

Die HTTP Content-Security-Policy (CSP) worker-src Direktive legt gültige Quellen für Worker, SharedWorker oder ServiceWorker Skripte fest.

CSP-Version	3
Direktivtyp	Fetch-Direktive
Fallback	Wenn diese Direktive fehlt, sucht der Benutzeragent zuerst nach der `child-src` Direktive, dann nach der `script-src` Direktive und schließlich nach der `default-src` Direktive, um die Ausführung von Workern zu steuern.

Syntax

http

Content-Security-Policy: worker-src 'none';
Content-Security-Policy: worker-src <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Es dürfen keine Ressourcen dieses Typs geladen werden. Die einfachen Anführungszeichen sind zwingend.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von source expression Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen. Für diese Direktive sind folgende Quellausdruckswerte anwendbar:

Beispiele

Verstöße

Gegeben ist dieser CSP-Header:

http

Content-Security-Policy: worker-src https://example.com/

Worker, SharedWorker, ServiceWorker werden blockiert und nicht geladen:

html

<script>
  let blockedWorker = new Worker("data:text/javascript,…");
  blockedWorker = new SharedWorker("https://not-example.com/");
  navigator.serviceWorker.register("https://not-example.com/sw.js");
</script>

Spezifikationen

Specification
Content Security Policy Level 3 # directive-worker-src

Browser-Kompatibilität

Siehe auch

Help improve MDN

Learn how to contribute Diese Seite wurde automatisch aus dem Englischen übersetzt.

Übersetzung auf GitHub anzeigen • Fehler mit dieser Übersetzung melden