CSP:worker-src

HTTP 的 Content-Security-Policy (CSP) **worker-src** 指令指定了 WorkerSharedWorkerServiceWorker 脚本的有效来源。

CSP 版本 3
指令类型 获取指令
回退

如果缺少此指令,则用户代理在控制 worker 执行时,将首先查找 child-src 指令,然后查找 script-src 指令,最后查找 default-src 指令。

语法

可以为 worker-src 策略允许一个或多个来源

http
Content-Security-Policy: worker-src <source>;
Content-Security-Policy: worker-src <source> <source>;

来源

<source> 可以是 CSP 来源值 中列出的任何一个值。

请注意,这套相同的值可以用于所有 获取指令(以及 其他一些指令)。

示例

违规情况

给定此 CSP 标头

http
Content-Security-Policy: worker-src https://example.com/

WorkerSharedWorkerServiceWorker 将被阻止,并且不会加载。

html
<script>
  let blockedWorker = new Worker("data:application/javascript,…");
  blockedWorker = new SharedWorker("https://not-example.com/");
  navigator.serviceWorker.register("https://not-example.com/sw.js");
</script>

规范

规范
内容安全策略级别 3
# directive-worker-src

浏览器兼容性

BCD 表格仅在启用 JavaScript 的浏览器中加载。

另请参阅