CSP:worker-src
HTTP 的 Content-Security-Policy
(CSP) **worker-src
** 指令指定了 Worker
、SharedWorker
或 ServiceWorker
脚本的有效来源。
CSP 版本 | 3 |
---|---|
指令类型 | 获取指令 |
回退 |
如果缺少此指令,则用户代理在控制 worker 执行时,将首先查找 |
语法
可以为 worker-src
策略允许一个或多个来源
http
Content-Security-Policy: worker-src <source>;
Content-Security-Policy: worker-src <source> <source>;
来源
示例
违规情况
给定此 CSP 标头
http
Content-Security-Policy: worker-src https://example.com/
Worker
、SharedWorker
、ServiceWorker
将被阻止,并且不会加载。
html
<script>
let blockedWorker = new Worker("data:application/javascript,…");
blockedWorker = new SharedWorker("https://not-example.com/");
navigator.serviceWorker.register("https://not-example.com/sw.js");
</script>
规范
规范 |
---|
内容安全策略级别 3 # directive-worker-src |
浏览器兼容性
BCD 表格仅在启用 JavaScript 的浏览器中加载。