Content-Security-Policy: object-src Richtlinie

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

Die HTTP-Content-Security-Policy object-src-Richtlinie gibt gültige Quellen für die <object> und <embed> Elemente an.

Hinweis: Elemente, die von object-src gesteuert werden, gelten möglicherweise zufällig als veraltete HTML-Elemente und erhalten keine neuen standardisierten Funktionen (wie die Sicherheitsattribute sandbox oder allow für <iframe>). Daher wird empfohlen, diese Fetch-Richtlinie einzuschränken (z.B. object-src 'none' ausdrücklich festzulegen, wenn möglich).

CSP-Version 1
Richtlinientyp Fetch-Richtlinie
default-src Fallback Ja. Wenn diese Richtlinie fehlt, sucht der User-Agent nach der default-src-Richtlinie.

Syntax

http
Content-Security-Policy: object-src 'none';
Content-Security-Policy: object-src <source-expression-list>;

Diese Richtlinie kann einen der folgenden Werte haben:

'none'

Es dürfen keine Ressourcen dieses Typs geladen werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von Quellenausdruck-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellenausdrücke übereinstimmen. Für diese Richtlinie sind folgende Quellenausdruck-Werte anwendbar:

Beispiele

Verstoßfälle

Gegeben ist dieser CSP-Header:

http
Content-Security-Policy: object-src https://example.com/

Die folgenden <object> und <embed> Elemente werden blockiert und nicht geladen:

html
<embed src="https://not-example.com/flash" />
<object data="https://not-example.com/plugin"></object>

Spezifikationen

Specification
Content Security Policy Level 3
# directive-object-src

Browser-Kompatibilität

Siehe auch