Content-Security-Policy: style-src-attr directive

Cú pháp

Content-Security-Policy: style-src-attr 'none';
Content-Security-Policy: style-src-attr <source-expression-list>;

Chỉ thị này có thể nhận một trong các giá trị sau:

'none'

Không có tài nguyên nào thuộc loại này được tải. Dấu nháy đơn là bắt buộc.

<source-expression-list>

Danh sách các giá trị biểu thức nguồn phân cách bằng khoảng trắng. Tài nguyên thuộc loại này có thể được tải nếu chúng khớp với bất kỳ biểu thức nguồn nào. Đối với chỉ thị này, các giá trị biểu thức nguồn sau đây có thể áp dụng:

• 'unsafe-hashes'
• 'unsafe-inline'
• 'report-sample'

style-src-attr có thể được sử dụng kết hợp với style-src:

Content-Security-Policy: style-src <source>;
Content-Security-Policy: style-src-attr <source>;

Ví dụ

Trường hợp vi phạm

Với tiêu đề CSP này:

Content-Security-Policy: style-src-attr 'none'

…style nội tuyến áp dụng cho phần tử bên dưới sẽ không được áp dụng:

<div style="display:none">Foo</div>

Chính sách này cũng sẽ chặn bất kỳ style nào được áp dụng trong JavaScript bằng cách đặt thuộc tính style trực tiếp, hoặc bằng cách đặt cssText:

document.querySelector("div").setAttribute("style", "display:none;");
document.querySelector("div").style.cssText = "display:none;";

Các thuộc tính style được đặt trực tiếp trên thuộc tính style của phần tử sẽ không bị chặn, cho phép người dùng an toàn thao tác style qua JavaScript:

document.querySelector("div").style.display = "none";

Lưu ý rằng việc sử dụng JavaScript có thể độc lập bị chặn bằng chỉ thị CSP script-src.

Thông số kỹ thuật

Khả năng tương thích trình duyệt

Xem thêm

• Content-Security-Policy
• style-src
• style-src-elem
• Tiêu đề Link
• <style>, <link>
• @import
• CSSStyleSheet.insertRule()
• CSSGroupingRule.insertRule()
• CSSStyleDeclaration.cssText