CSP: sandbox
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Die HTTP-Direktive Content-Security-Policy (CSP)
sandbox ermöglicht eine Sandbox für die angeforderte
Ressource, ähnlich dem <iframe>-Attribut sandbox.
Sie wendet Einschränkungen auf die Aktionen einer Seite an, einschließlich der Verhinderung von Popups,
der Verhinderung der Ausführung von Plugins und Skripten und der Durchsetzung einer Same-Origin-Policy.
| CSP-Version | 1.1 / 2 |
|---|---|
| Direktiventyp | Dokumentdirektive |
Diese Direktive wird nicht im <meta>
Element oder durch das
Content-Security-policy-Report-Only
Header-Feld unterstützt.
|
|
Syntax
Content-Security-Policy: sandbox;
Content-Security-Policy: sandbox <value>;
wobei <value> optional einer der folgenden Werte sein kann:
allow-downloads-
Ermöglicht das Herunterladen von Dateien über ein
<a>oder<area>-Element mit dem download-Attribut sowie durch die Navigation, die zum Herunterladen einer Datei führt. Dies funktioniert unabhängig davon, ob der Benutzer auf den Link geklickt hat oder ob der JS-Code ihn ohne Benutzerinteraktion gestartet hat. allow-forms-
Ermöglicht der Seite das Absenden von Formularen. Wenn dieses Schlüsselwort nicht verwendet wird, wird das Formular normal angezeigt, aber das Absenden löst keine Eingabevalidierung aus, sendet keine Daten an einen Webserver und schließt auch keinen Dialog.
allow-modals-
Ermöglicht der Seite das Öffnen von modalen Fenstern durch
Window.alert(),Window.confirm(),Window.print()undWindow.prompt(), während das Öffnen eines<dialog>unabhängig von diesem Schlüsselwort erlaubt ist. Es ermöglicht auch der Seite, dasBeforeUnloadEvent-Ereignis zu empfangen. allow-orientation-lock-
Erlaubt der Ressource das Sperren der Bildschirmorientierung.
allow-pointer-lock-
Erlaubt der Seite die Verwendung der Pointer Lock API.
allow-popups-
Erlaubt Popups (wie von
Window.open(),target="_blank",Window.showModalDialog()). Wenn dieses Schlüsselwort nicht verwendet wird, schlägt diese Funktionalität stillschweigend fehl. allow-popups-to-escape-sandbox-
Erlaubt einem sandboxed-Dokument das Öffnen neuer Fenster, ohne die Sandbox-Flags darauf anzuwenden. Dies wird beispielsweise einem Drittanbieter-Werbeanzeigen ermöglichen, sicher sandboxed zu werden, ohne die gleichen Einschränkungen auf die Seite anzuwenden, auf die die Anzeige verlinkt.
allow-presentation-
Erlaubt Einbettungen, die Kontrolle darüber zu haben, ob ein iframe eine Präsentationssitzung starten kann.
allow-same-origin-
Wenn dieses Token nicht verwendet wird, wird die Ressource als aus einem speziellen Ursprung stammend behandelt, der immer die Same-Origin-Policy fehlschlägt (was möglicherweise den Zugriff auf Daten-/Cookie-Storage und einige JavaScript-APIs verhindert).
allow-scripts-
Erlaubt der Seite das Ausführen von Skripten (jedoch nicht das Erstellen von Popup-Fenstern). Wenn dieses Schlüsselwort nicht verwendet wird, ist diese Operation nicht erlaubt.
allow-storage-access-by-user-activationExperimentell-
Erlaubt der Ressource, Zugriff auf die Speicherfunktionen des übergeordneten Objekts mit der Storage Access API anzufordern.
-
Erlaubt der Ressource die Navigation des obersten Browsing-Kontexts (desjenigen mit dem Namen
_top). -
Erlaubt der Ressource die Navigation des obersten Browsing-Kontexts, jedoch nur, wenn sie durch eine Benutzeraktion initiiert wurde.
-
Erlaubt Navigationen zu nicht-
http-Protokollen, die in den Browser eingebaut oder von einer Website registriert wurden. Diese Funktion wird auch durch das Schlüsselwortallow-popupsoderallow-top-navigationaktiviert.
Hinweis:
Die allow-top-navigation und verwandte Werte sind nur für eingebettete Dokumente (wie untergeordnete iframes) sinnvoll. Für eigenständige Dokumente haben diese Werte keine Wirkung, da der oberste Browsing-Kontext das Dokument selbst ist.
Beispiele
Content-Security-Policy: sandbox allow-scripts;
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-sandbox |
Browser-Kompatibilität
Siehe auch
Content-Security-PolicysandboxAttribut auf<iframe>Elementen