CSP: style-src-elem
Die HTTP-Content-Security-Policy (CSP) style-src-elem Direktive legt gültige Quellen für Stylesheet-<style>-Elemente und <link>-Elemente mit rel="stylesheet" fest.
Die Direktive legt keine gültigen Quellen für Inline-Stilattribute fest; diese werden mit style-src-attr festgelegt (und gültige Quellen für alle Stile können mit style-src festgelegt werden).
| CSP-Version | 3 |
|---|---|
| Direktiventyp | Fetch-Direktive |
default-src Fallback |
Ja.
Wenn diese Direktive fehlt, sucht der Benutzeragent nach der |
Syntax
Content-Security-Policy: style-src-elem 'none';
Content-Security-Policy: style-src-elem <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'-
Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Quellausdruckswerten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der gegebenen Quellausdrücke übereinstimmen. Für diese Direktive gelten die gleichen Quellausdruckswerte wie für
style-src, mit Ausnahme von'unsafe-hashes'.
style-src-elem kann in Verbindung mit style-src verwendet werden:
Content-Security-Policy: style-src <source>;
Content-Security-Policy: style-src-elem <source>;
Beispiele
Verstöße
Gegebenenfalls dieser CSP-Header:
Content-Security-Policy: style-src-elem https://example.com/
…werden die folgenden Stylesheets blockiert und nicht geladen:
<link href="https://not-example.com/styles/main.css" rel="stylesheet" />
<style>
#inline-style {
background: red;
}
</style>
<style>
@import url("https://not-example.com/styles/print.css") print;
</style>
…sowie Styles, die über den Link-Header geladen werden:
Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-style-src-elem |
Browser-Kompatibilität
BCD tables only load in the browser