CSP：worker-src

HTTP 的 Content-Security-Policy (CSP) **worker-src** 指令指定了 Worker、SharedWorker 或 ServiceWorker 脚本的有效来源。

CSP 版本	3
指令类型	获取指令
回退	如果缺少此指令，则用户代理在控制 worker 执行时，将首先查找 `child-src` 指令，然后查找 `script-src` 指令，最后查找 `default-src` 指令。

语法

可以为 worker-src 策略允许一个或多个来源

http

Content-Security-Policy: worker-src <source>;
Content-Security-Policy: worker-src <source> <source>;

来源

<source> 可以是 CSP 来源值中列出的任何一个值。

请注意，这套相同的值可以用于所有获取指令（以及其他一些指令）。

示例

违规情况

给定此 CSP 标头

http

Content-Security-Policy: worker-src https://example.com/

Worker、SharedWorker、ServiceWorker 将被阻止，并且不会加载。

html

<script>
  let blockedWorker = new Worker("data:application/javascript,…");
  blockedWorker = new SharedWorker("https://not-example.com/");
  navigator.serviceWorker.register("https://not-example.com/sw.js");
</script>

规范

规范
内容安全策略级别 3 # directive-worker-src

浏览器兼容性

BCD 表格仅在启用 JavaScript 的浏览器中加载。

语法

来源

示例

违规情况

规范

浏览器兼容性

另请参阅