Content-Security-Policy: worker-src-Direktive
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since Mai 2022.
Die HTTP Content-Security-Policy (CSP) worker-src Direktive legt gültige Quellen für Worker, SharedWorker oder ServiceWorker Skripte fest.
| CSP-Version | 3 |
|---|---|
| Direktivtyp | Fetch-Direktive |
| Fallback | Wenn diese Direktive fehlt, sucht der Benutzeragent zuerst nach der |
Syntax
Content-Security-Policy: worker-src 'none'; Content-Security-Policy: worker-src <source-expression-list>; Diese Direktive kann einen der folgenden Werte haben:
'none'-
Es dürfen keine Ressourcen dieses Typs geladen werden. Die einfachen Anführungszeichen sind zwingend.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von source expression Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen. Für diese Direktive sind folgende Quellausdruckswerte anwendbar:
Beispiele
Verstöße
Gegeben ist dieser CSP-Header:
Content-Security-Policy: worker-src https://example.com/ Worker, SharedWorker, ServiceWorker werden blockiert und nicht geladen:
<script> let blockedWorker = new Worker("data:text/javascript,…"); blockedWorker = new SharedWorker("https://not-example.com/"); navigator.serviceWorker.register("https://not-example.com/sw.js"); </script> Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-worker-src |