HTTP の {{HTTPHeader("Content-Security-Policy")}} (CSP) における script-src-elem ディレクティブは、 JavaScript の {{HTMLElement("script")}} 要素の有効なソースを指定しますが、 onclick のようなインラインスクリプトのイベントハンドラーは指定しません。
| CSP バージョン | 3 |
|---|---|
| ディレクティブ種別 | {{Glossary("Fetch directive", "フェッチディレクティブ")}} |
| {{CSP("default-src")}} による代替 | あり。このディレクティブがない場合、ユーザーエージェントは {{CSP("script-src")}} ディレクティブを探し、両方ともない場合は、 default-src ディレクティブで代替します。 |
script-src-elem ポリシーには、1つまたは複数のソースが許可されています。
Content-Security-Policy: script-src-elem <source>; Content-Security-Policy: script-src-elem <source> <source>;
script-src-elem は {{CSP("script-src")}} との組み合わせで使用することができます。
Content-Security-Policy: script-src <source>; Content-Security-Policy: script-src-elem <source>;
{{page("/ja/docs/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}
script-src-elem 存在しない場合、ユーザーエージェントは {{CSP("script-src")}} ディレクティブで代替し、こちらも同様にない場合は、 {{CSP("default-src")}} で代替します。
TODO: Add comprehensive examples.
| 仕様書 | 状態 | 備考 |
|---|---|---|
| {{specName("CSP 3.0", "#directive-script-src-elem", "script-src-elem")}} | {{Spec2("CSP 3.0")}} | 初回定義 |
{{Compat("http.headers.csp.Content-Security-Policy.script-src-elem")}}