Content-Security-Policy: sandbox-Direktive
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since November 2016.
Die HTTP-Content-Security-Policy (CSP) sandbox-Direktive aktiviert einen Sandbox-Modus für die angeforderte Ressource, ähnlich dem <iframe> sandbox-Attribut.
Sie wendet Einschränkungen auf die Aktionen einer Seite an, inklusive der Verhinderung von Pop-ups, der Ausführung von Plugins und Skripten sowie der Durchsetzung einer Same-Origin-Policy.
| CSP-Version | 1.1 / 2 |
|---|---|
| Direktivtyp | Dokument-Direktive |
Diese Direktive wird nicht im <meta>-Element oder durch das Content-Security-policy-Report-Only-Headerfeld unterstützt.
|
|
Syntax
Content-Security-Policy: sandbox;
Content-Security-Policy: sandbox <value>;
wobei <value> optional einer der folgenden Werte sein kann:
allow-downloads-
Erlaubt das Herunterladen von Dateien über ein
<a>- oder<area>-Element mit dem download-Attribut sowie durch die Navigation, die zum Herunterladen einer Datei führt. Dies funktioniert unabhängig davon, ob der Benutzer auf den Link geklickt hat oder ob der JS-Code es ohne Benutzerinteraktion initiiert hat. allow-forms-
Erlaubt der Seite das Absenden von Formularen. Wenn dieses Schlüsselwort nicht verwendet wird, wird das Formular normal angezeigt, aber das Absenden wird keine Eingabevalidierung auslösen, keine Daten an einen Webserver senden oder ein Dialogfeld schließen.
allow-modals-
Erlaubt der Seite das Öffnen von modalen Fenstern durch
Window.alert(),Window.confirm(),Window.print()undWindow.prompt(), während das Öffnen eines<dialog>immer erlaubt ist, unabhängig von diesem Schlüsselwort. Es erlaubt der Seite auch den Empfang desBeforeUnloadEvent. allow-orientation-lock-
Ermöglicht der Ressource das Sperren der Bildschirmorientierung.
allow-pointer-lock-
Erlaubt der Seite die Nutzung der Pointer Lock API.
allow-popups-
Erlaubt Pop-ups (z.B. durch
Window.open()odertarget="_blank"erstellt). Wenn dieses Schlüsselwort nicht verwendet wird, schlägt die Anzeige von Pop-ups lautlos fehl. allow-popups-to-escape-sandbox-
Erlaubt einem dokumentierten Sandbox das Öffnen neuer Fenster, ohne dass die Sandbox-Flags auf diese erzwungen werden. Dies ermöglicht es beispielsweise, eine Drittanbieter-Anzeige sicher zu sandboxen, ohne die gleichen Einschränkungen auf die Seite anzuwenden, auf die die Anzeige verweist.
allow-presentation-
Erlaubt Einbettungen zu kontrollieren, ob ein iframe eine Präsentationssitzung starten kann.
allow-same-origin-
Wenn dieses Token nicht verwendet wird, wird die Ressource als von einem speziellen Ursprung behandelt, der immer an der Same-Origin-Policy scheitert (potenziell wird der Zugriff auf Datenspeicherung/Cookies und einige JavaScript-APIs verhindert).
allow-scripts-
Erlaubt der Seite, Skripte auszuführen (aber keine Pop-up-Fenster zu erstellen). Wenn dieses Schlüsselwort nicht verwendet wird, ist diese Operation nicht erlaubt.
allow-storage-access-by-user-activationExperimentell-
Ermöglicht der Ressource den Zugriff auf die Speicherkapazitäten des Elternteils mit der Storage Access API anzufordern.
-
Erlaubt der Ressource die Navigation des obersten Browsing-Kontexts (der mit dem Namen
_top). -
Erlaubt der Ressource die Navigation des obersten Browsing-Kontexts, aber nur, wenn diese durch eine Benutzergeste initiiert wird.
-
Erlaubt Navigationen zu nicht-
http-Protokollen, die im Browser integriert sind oder von einer Website registriert wurden. Diese Funktion wird auch durch das Schlüsselwortallow-popupsoderallow-top-navigationaktiviert.
Hinweis:
Die Schlüsselwörter allow-top-navigation und verwandte Werte sind nur für eingebettete Dokumente (wie z. B. untergeordnete iframes) sinnvoll. Für eigenständige Dokumente haben diese Werte keine Wirkung, da der oberste Browsing-Kontext das Dokument selbst ist.
Beispiele
Content-Security-Policy: sandbox allow-scripts;
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-sandbox |
Browser-Kompatibilität
Siehe auch
Content-Security-Policysandbox-Attribut auf<iframe>Elementen