CSP:script-src-elem

HTTP Content-Security-Policy (CSP) 的 script-src-elem 指令指定 JavaScript <script> 元素的有效来源。

该指令仅指定 <script> 元素中的有效来源(包括脚本请求和块)。它不适用于其他可以触发脚本执行的 JavaScript 来源,例如内联脚本事件处理程序(onclick)、基于“unsafe-eval”检查的脚本执行方法 以及 XSLT 样式表。(可以使用 script-src 为所有 JavaScript 脚本来源指定有效来源,或者仅使用 script-src-attr 为内联脚本处理程序指定有效来源。)

CSP 版本 3
指令类型 获取指令
default-src 回退 是。如果该指令不存在,用户代理将查找 script-src 指令,如果这两个指令都不存在,则回退到 default-src 指令。

语法

可以为 script-src-elem 策略允许一个或多个来源

http
Content-Security-Policy: script-src-elem <source>;
Content-Security-Policy: script-src-elem <source> <source>;

script-src-elem 可以与 script-src 结合使用

http
Content-Security-Policy: script-src <source>;
Content-Security-Policy: script-src-elem <source>;

来源

<source> 可以是 CSP 源值 中列出的任何一个值。

请注意,这套相同的数值可以用于所有 获取指令(以及 其他一些指令)。

示例

违规情况

给定此 CSP 标头

http
Content-Security-Policy: script-src-elem https://example.com/

…以下脚本将被阻止,不会加载或执行

html
<script src="https://not-example.com/js/library.js"></script>

规范

规范
内容安全策略第 3 级
# 指令-script-src-elem

浏览器兼容性

BCD 表格仅在启用 JavaScript 的浏览器中加载。

另请参阅