HTTP协议中 {{HTTPHeader("Content-Security-Policy")}} (CSP) script-src-elem 指示符明指定了合法的js要素来源 {{HTMLElement("script")}} ,但是不包括类似onclick这样的事件处理器中包含的内联脚本。
| CSP 版本 | 3 |
|---|---|
| Directive type | {{Glossary("Fetch directive")}} |
| {{CSP("default-src")}} fallback | Yes. If this directive is absent, the user agent will look for the {{CSP("script-src")}} directive, and if both of them are absent, fallback to default-src directive. |
script-src-elem 可以允许多个来源:
Content-Security-Policy: script-src-elem <source>; Content-Security-Policy: script-src-elem <source> <source>;
script-src-elem 可以跟 {{CSP("script-src")}}一起用:
Content-Security-Policy: script-src <source>; Content-Security-Policy: script-src-elem <source>;
{{page("Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}
如果没有 script-src-elem 存在, 客户端会回退到 {{CSP("script-src")}} 指示符, 如果那个也还是没有那就回退到 {{CSP("default-src")}}。
TODO: Add comprehensive examples.
| Specification | Status | Comment |
|---|---|---|
| {{specName("CSP 3.0", "#directive-script-src-elem", "script-src-elem")}} | {{Spec2("CSP 3.0")}} | Initial definition. |
{{Compat("http.headers.csp.Content-Security-Policy.script-src-elem")}}