CSP: base-uri
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Die HTTP Content-Security-Policy base-uri Direktive beschränkt die URLs, die im <base>-Element eines Dokuments verwendet werden können. Wenn dieser Wert fehlt, ist jede URI erlaubt. Wenn diese Direktive fehlt, wird der Benutzeragent den Wert im <base>-Element verwenden.
| CSP-Version | 2 |
|---|---|
| Direktiv-Typ | Dokumentdirektive |
default-src Rückfall |
Nein. Wenn dies nicht gesetzt ist, ist jede URL erlaubt. |
Syntax
Content-Security-Policy: base-uri 'none';
Content-Security-Policy: base-uri <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'-
Es darf keine Basis-URI mit einem
<base>-Element gesetzt werden. Die einfachen Anführungszeichen sind verpflichtend. <source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Quellausdruck-Werten. Ein
<base>-Element kann eine Basis-URI festlegen, wenn sein Wert mit einem der angegebenen Quellausdrücke übereinstimmt. Für diese Direktive sind die folgenden Quellausdruck-Werte anwendbar:
Beispiele
Meta-Tag-Konfiguration
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" />
Apache-Konfiguration
<IfModule mod_headers.c>
Header set Content-Security-Policy "base-uri 'self'";
</IfModule>
Nginx-Konfiguration
add_header Content-Security-Policy "base-uri 'self';"
Verletzungsfall
Da Ihre Domain nicht example.com ist, wird ein <base>-Element mit href auf https://example.com zu einer CSP-Verletzung führen.
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" />
<base href="https://example.com/" />
<!--
// Error: Refused to set the document's base URI to 'https://example.com/'
// because it violates the following Content Security Policy
// directive: "base-uri 'self'"
-->
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-base-uri |
Browser-Kompatibilität
BCD tables only load in the browser