Content-Security-Policy: base-uri-Direktive
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since January 2020.
Die HTTP-Content-Security-Policy-base-uri-Direktive beschränkt die URLs, die in einem <base>-Element eines Dokuments verwendet werden können. Wenn dieser Wert fehlt, ist jede URI erlaubt. Wenn diese Direktive fehlt, verwendet der Benutzeragent den Wert im <base>-Element.
| CSP-Version | 2 |
|---|---|
| Direktivtyp | Dokument-Direktive |
default-src-Fallback |
Nein. Wenn diese nicht gesetzt ist, ist jede URL erlaubt. |
Syntax
Content-Security-Policy: base-uri 'none';
Content-Security-Policy: base-uri <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'-
Keine Basis-URI darf mit einem
<base>-Element festgelegt werden. Die einfachen Anführungszeichen sind verpflichtend. <source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Source-Expression-Werten. Ein
<base>-Element kann eine Basis-URI festlegen, wenn sein Wert mit einem der gegebenen Source-Expressions übereinstimmt. Für diese Direktive sind die folgenden Source-Expression-Werte anwendbar:
Beispiele
Meta-Tag-Konfiguration
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" />
Apache-Konfiguration
<IfModule mod_headers.c>
Header set Content-Security-Policy "base-uri 'self'";
</IfModule>
Nginx-Konfiguration
add_header Content-Security-Policy "base-uri 'self';"
Verletzungsfall
Da Ihre Domain nicht example.com ist, führt ein <base>-Element mit href gesetzt auf https://example.com zu einer CSP-Verletzung.
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" />
<base href="https://example.com/" />
<!--
// Error: Refused to set the document's base URI to 'https://example.com/'
// because it violates the following Content Security Policy
// directive: "base-uri 'self'"
-->
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-base-uri |