1. Web
  2. HTTP
  3. Reference
  4. Headers
  5. Content-Security-Policy
  6. trusted-types

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

Content-Security-Policy: trusted-types Directive

Limited availability

This feature is not Baseline because it does not work in some of the most widely-used browsers.

Die HTTP Content-Security-Policy (CSP) trusted-types-Direktive wird verwendet, um eine Positivliste von Trusted Type-Policynamen anzugeben, die eine Website mithilfe von trustedTypes.createPolicy() erstellen kann.

Dies verhindert, dass Website-Code unerwartete Policies erstellt, was es einfacher macht, Trusted Type-Code zu prüfen (createPolicy() wird eine Ausnahme auslösen, wenn ein Name übergeben wird, der nicht in trusted-types aufgeführt war).

Hinweis: Die Direktive require-trusted-types-for muss gesetzt sein, um die Durchsetzung von Trusted Types zu aktivieren, und das trusted-types-eval Schlüsselwort wird verwendet, um die Einschränkungen auf eval() und Function() zu lockern, wenn Trusted Types aktiviert sind.

Weitere Informationen finden Sie in der Trusted Type API.

Syntax

http
Content-Security-Policy: trusted-types;
Content-Security-Policy: trusted-types 'none';
Content-Security-Policy: trusted-types <policyName>;
Content-Security-Policy: trusted-types <policyName> <policyName> 'allow-duplicates';
<policyName>

Ein gültiger Policynamen besteht nur aus alphanumerischen Zeichen oder einem der Zeichen -#=_/@.%. Ein Stern (*) als Policyname weist den Benutzeragenten an, jeden eindeutigen Policynamen zuzulassen (allow-duplicates kann dies weiter lockern).

'none'

Verbietet das Erstellen von Trusted Type-Policies (entspricht dem Nichtangeben eines <policyName>).

'allow-duplicates'

Erlaubt das Erstellen von Policies mit einem Namen, der bereits verwendet wurde.

Beispiele

js
// Content-Security-Policy: trusted-types foo bar 'allow-duplicates';

if (typeof trustedTypes !== "undefined") {
  const policyFoo = trustedTypes.createPolicy("foo", {});
  const policyFoo2 = trustedTypes.createPolicy("foo", {});
  const policyBaz = trustedTypes.createPolicy("baz", {}); // Throws and dispatches a SecurityPolicyViolationEvent.
}

Spezifikationen

Specification
Trusted Types
# trusted-types-csp-directive

Browser-Kompatibilität

Siehe auch

Help improve MDN

Learn how to contribute Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden