Content-Security-Policy: connect-src directive

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since November 2016.

Die HTTP-Content-Security-Policy (CSP) connect-src-Richtlinie beschränkt die URLs, die über Skript-Schnittstellen geladen werden können. Die folgenden APIs werden durch diese Richtlinie gesteuert:

Note: connect-src 'self' wird nicht in allen Browsern auf Websocket-Schemata aufgelöst. Weitere Informationen in diesem Issue.

CSP-Version 1
Richtlinientyp Fetch Directives
default-src-Fallback Ja. Wenn diese Richtlinie fehlt, sucht der Benutzeragent nach der default-src-Richtlinie.

Syntax

http
Content-Security-Policy: connect-src 'none';
Content-Security-Policy: connect-src ;

Diese Richtlinie kann einen der folgenden Werte haben:

'none'

Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.

Eine durch Leerzeichen getrennte Liste von Quellausdrucks-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen. Für diese Richtlinie sind die folgenden Quellausdruckswerte anwendbar:

Beispiele

Fälle von Verstößen

Angenommen, dieser CSP-Header:

http
Content-Security-Policy: connect-src https://example.com/

Die folgenden Verbindungen werden blockiert und nicht geladen:

html

Spezifikationen

Specification
Content Security Policy Level 3
# directive-connect-src

Browser-Kompatibilität

Siehe auch