Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.
Content-Security-Policy: connect-src Richtlinie
Baseline
Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since November 2016.
Der HTTP-Content-Security-Policy (CSP) connect-src-Richtlinie beschränkt die URLs, die über Skriptschnittstellen geladen werden können. Die folgenden APIs werden durch diese Richtlinie kontrolliert:
- Das
ping-Attribut in<a>-Elementen fetch()fetchLater()ExperimentellXMLHttpRequestWebSocketEventSourceNavigator.sendBeacon()
Hinweis:
connect-src 'self' wird in allen Browsern nicht in Websocket-Schemata aufgelöst, mehr Informationen in diesem Issue.
| CSP-Version | 1 |
|---|---|
| Richtlinientyp | Fetch-Richtlinie |
default-src Fallback |
Ja. Wenn diese Richtlinie fehlt, wird der User-Agent die
default-src-Richtlinie suchen.
|
Syntax
Content-Security-Policy: connect-src 'none';
Content-Security-Policy: connect-src <source-expression-list>;
Diese Richtlinie kann einen der folgenden Werte haben:
'none'-
Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Quell-Ausdruck-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen. Für diese Richtlinie sind die folgenden Quell-Ausdruck-Werte anwendbar:
Beispiele
Verletzungsfälle
Angenommen, dieser CSP-Header:
Content-Security-Policy: connect-src https://example.com/
Die folgenden Verbindungen werden blockiert und nicht geladen:
<a ping="https://not-example.com" href="/">Link</a>
<script>
const response = fetch("https://not-example.com/");
const xhr = new XMLHttpRequest();
xhr.open("GET", "https://not-example.com/");
xhr.send();
const ws = new WebSocket("wss://not-example.com/");
const es = new EventSource("https://not-example.com/");
navigator.sendBeacon("https://not-example.com/", {
/* ... */
});
</script>
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-connect-src |
Browser-Kompatibilität
Enable JavaScript to view this browser compatibility table.