Die HTTP-Content-Security-Policy (CSP) script-src-attr-Direktive gibt gültige Quellen für JavaScript-Inline-Ereignishandler an.
Diese Direktive spezifiziert nur gültige Quellen für Inline-Skript-Ereignishandler wie onclick.
Sie gilt nicht für andere JavaScript-Quellen, die eine Skriptausführung auslösen können, wie URLs, die direkt in -Elemente und XSLT-Stylesheets geladen werden.
(Gültige Quellen können für alle JavaScript-Skriptquellen mit script-src angegeben werden, oder nur für -Elemente mit script-src-elem.)
Ja.
Wenn diese Direktive fehlt, sucht der User-Agent nach der script-src-Direktive, und wenn beide fehlen, wird auf die default-src-Direktive zurückgegriffen.
Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.
Eine durch Leerzeichen getrennte Liste von Quellausdruck-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quellausdruckswerte anwendbar: