CSP: sandbox
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Die HTTP Content-Security-Policy
(CSP) sandbox
Direktive aktiviert eine Sandbox für die angeforderte Ressource, ähnlich dem Attribut sandbox
von <iframe>
. Sie wendet Einschränkungen auf die Aktionen einer Seite an, einschließlich der Verhinderung von Pop-ups, der Ausführung von Plugins und Skripten und der Durchsetzung einer Same-Origin-Policy.
CSP-Version | 1.1 / 2 |
---|---|
Typ der Direktive | Dokumentdirektive |
Diese Direktive wird nicht im <meta>
Element oder vom
Content-Security-policy-Report-Only
Header-Feld unterstützt.
|
Syntax
Content-Security-Policy: sandbox;
Content-Security-Policy: sandbox <value>;
wobei <value>
optional einer der folgenden Werte sein kann:
allow-downloads
-
Erlaubt das Herunterladen von Dateien über ein
<a>
oder<area>
Element mit dem download Attribut sowie durch die Navigation, die zum Herunterladen einer Datei führt. Dies funktioniert unabhängig davon, ob der Benutzer auf den Link geklickt hat oder ob der JavaScript-Code dies ohne Benutzerinteraktion initiiert hat. allow-forms
-
Erlaubt der Seite das Absenden von Formularen. Wenn dieses Schlüsselwort nicht verwendet wird, wird das Formular normal angezeigt, aber das Absenden wird keine Eingabevalidierung auslösen, Daten an einen Webserver senden oder einen Dialog schließen.
allow-modals
-
Erlaubt der Seite das Öffnen von modalen Fenstern durch
Window.alert()
,Window.confirm()
,Window.print()
undWindow.prompt()
, während das Öffnen eines<dialog>
unabhängig von diesem Schlüsselwort erlaubt ist. Es erlaubt der Seite auch, dasBeforeUnloadEvent
Ereignis zu empfangen. allow-orientation-lock
-
Lässt die Ressource die Bildschirmorientierung sperren.
allow-pointer-lock
-
Erlaubt der Seite die Verwendung der Pointer Lock API.
allow-popups
-
Erlaubt Pop-ups (wie von
Window.open()
,target="_blank"
,Window.showModalDialog()
). Wenn dieses Schlüsselwort nicht verwendet wird, wird diese Funktionalität stillschweigend fehlschlagen. allow-popups-to-escape-sandbox
-
Erlaubt es einem sandgestrahlten Dokument, neue Fenster zu öffnen, ohne die Sandboxing-Flags auf diese zu erzwingen. Dies ermöglicht es beispielsweise, eine Drittanbieterwerbung sicher zu sandboxen, ohne dieselben Einschränkungen auf die Seite zu erzwingen, auf die die Anzeige verweist.
allow-presentation
-
Erlaubt Embedders die Kontrolle darüber, ob ein iframe eine Präsentationssitzung starten kann.
allow-same-origin
-
Wenn dieses Token nicht verwendet wird, wird die Ressource als von einem speziellen Ursprung stammend behandelt, der immer die Same-Origin-Policy fehlschlägt (was möglicherweise den Zugriff auf Datenspeicherung/Cookies und einige JavaScript-APIs verhindert).
allow-scripts
-
Erlaubt der Seite das Ausführen von Skripten (aber nicht das Erstellen von Pop-up-Fenstern). Wenn dieses Schlüsselwort nicht verwendet wird, ist diese Operation nicht erlaubt.
allow-storage-access-by-user-activation
Experimentell-
Lässt die Ressource den Zugriff auf die Speichermöglichkeiten des Elternteils mit der Storage Access API anfordern.
-
Lässt die Ressource den Kontext der obersten Browserebene (den mit dem Namen
_top
) navigieren. -
Lässt die Ressource den Kontext der obersten Browserebene navigieren, aber nur, wenn er durch eine Benutzeraktion initiiert wird.
-
Erlaubt Navigierungen zu nicht-
http
Protokollen, die im Browser integriert oder von einer Website registriert sind. Diese Funktionalität wird auch durch dasallow-popups
oderallow-top-navigation
Schlüsselwort aktiviert.
Hinweis:
Die Werte allow-top-navigation
und verwandte Werte sind nur für eingebettete Dokumente (wie z.B. untergeordnete iframes) sinnvoll. Für eigenständige Dokumente haben diese Werte keine Wirkung, da der Kontext der obersten Browserebene das Dokument selbst ist.
Beispiele
Content-Security-Policy: sandbox allow-scripts;
Spezifikationen
Specification |
---|
Content Security Policy Level 3 # directive-sandbox |
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
Content-Security-Policy
sandbox
Attribut auf<iframe>
Elementen