Content-Security-Policy : directive object-src
Baseline
Large disponibilité
Cette fonctionnalité est bien établie et fonctionne sur de nombreux appareils et versions de navigateurs. Elle est disponible sur tous les navigateurs depuis août 2016.
La directive HTTP Content-Security-Policy (CSP) object-src définit les sources valides pour les éléments HTML <object> et <embed>.
Note :
Les éléments contrôlés par object-src sont peut-être considérés comme des éléments HTML hérités et ne reçoivent pas de nouvelles fonctionnalités standardisées (comme les attributs de sécurité sandbox ou allow pour <iframe>). Il est donc recommandé (angl.) de restreindre cette directive de récupération (par exemple, définir explicitement object-src 'none' si possible).
| Version de CSP | 1 |
|---|---|
| Type de directive | Directive de récupération |
Solution de repli default-src |
Oui, si cette directive est absente, l'agent utilisateur consultera la
directive default-src.
|
Syntaxe
Content-Security-Policy: object-src 'none';
Content-Security-Policy: object-src <source-expression-list>;
Cette directive peut avoir l'une des valeurs suivantes :
'none'-
Aucune ressource de ce type ne peut être chargée. Les guillemets simples sont obligatoires.
<source-expression-list>-
Une liste de valeurs d'expressions de source séparées par des espaces. Les ressources de ce type peuvent être chargées si elles correspondent à l'une des expressions de source données. Pour cette directive, les valeurs d'expression de source suivantes sont applicables :
Exemples
Cas de violation
Soit cet en-tête CSP :
Content-Security-Policy: object-src https://exemple.com/
Ces éléments <object> et <embed> seront bloqués et ne se chargeront pas :
<embed src="https://hors-exemple.com/flash" />
<object data="https://hors-exemple.com/plugin"></object>
Spécifications
| Spécification |
|---|
| Content Security Policy Level 3 # directive-object-src |
Compatibilité des navigateurs
Voir aussi
- L'en-tête
Content-Security-Policy - Les éléments HTML
<object>et<embed>