1. Web
  2. HTTP
  3. Reference
  4. Headers
  5. Content-Security-Policy
  6. style-src-elem

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

Content-Security-Policy: style-src-elem Direktive

Baseline 2025
Newly available

Since December 2025, this feature works across the latest devices and browser versions. This feature might not work in older devices or browsers.

Die HTTP Content-Security-Policy (CSP) style-src-elem Direktive gibt gültige Quellen für die Stylesheet-<style>-Elemente und <link>-Elemente mit rel="stylesheet" an.

Die Direktive legt keine gültigen Quellen für Inline-Style-Attribute fest; diese werden mit style-src-attr festgelegt (und gültige Quellen für alle Styles können mit style-src festgelegt werden).

CSP-Version 3
Direktivtyp Fetch-Direktive
default-src Fallback

Ja. Wenn diese Direktive fehlt, wird der User-Agent nach der style-src-Direktive suchen, und wenn beide fehlen, wird auf die default-src-Direktive zurückgegriffen.

Syntax

http
Content-Security-Policy: style-src-elem 'none';
Content-Security-Policy: style-src-elem <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von Source Expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Source Expressions übereinstimmen. Für diese Direktive sind die gleichen Source Expression-Werte anwendbar wie für style-src, mit Ausnahme von 'unsafe-hashes'.

style-src-elem kann in Verbindung mit style-src verwendet werden:

http
Content-Security-Policy: style-src <source>;
Content-Security-Policy: style-src-elem <source>;

Beispiele

Verletzungsfälle

Angenommen, dieser CSP-Header:

http
Content-Security-Policy: style-src-elem https://example.com/

…werden die folgenden Stylesheets blockiert und nicht geladen:

html
<link href="https://not-example.com/styles/main.css" rel="stylesheet" />

<style>
  #inline-style {
    background: red;
  }
</style>

<style>
  @import "https://not-example.com/styles/print.css" print;
</style>

…sowie Styles, die mit dem Link-Header geladen werden:

http
Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet

Spezifikationen

Specification
Content Security Policy Level 3
# directive-style-src-elem

Browser-Kompatibilität

Siehe auch

Help improve MDN

Learn how to contribute Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden