Cabecera
|
Configuración por defecto
|
Notas
|
||
---|---|---|---|---|
default-src
|
'self'
|
Permite especificar el valor por defecto de los recursos alternativos que se pueden cargar o extraer en la página, como script-src, style-src, etc.
|
||
connect-src
|
'self'
|
Permite proteger varios mecanismos de explorador que pueden extraer solicitudes HTTP. Esto incluye XMLHttpRequest (XHR/AJAX), WebSocket, fetch(), <a ping> o EventSource.
|
||
font-src
|
'self'
|
Permite proteger la carga de fuentes mediante @font-face.
|
||
frame-ancestors
|
'self'
|
Permite especificar qué URL padre pueden enmarcar el recurso actual. Con la directiva frame-ancestors de CSP, se puede permitir o bloquear la colocación de una página dentro de un marco o iframe.
Si el filtrado de secuestro de pulsaciones se ha configurado en web.xml y se produce la migración a CSP, frame-ancestor se define en 'self' y la lista de autorización se define en el filtro de secuestro de pulsaciones.
|
||
frame-src
|
'self' tw-ra-client:
|
Permite controlar la carga de marcos. Por ejemplo, si se utiliza una etiqueta <iframe> HTML dentro de un documento HTML.
|
||
img-src
|
'self'
|
Permite proteger la carga de imágenes. Por ejemplo, con una etiqueta <img> HTML.
|
||
media-src
|
'self'
|
Permite proteger la carga de audio y vídeo. Por ejemplo, los elementos <audio> y <video> de HTML5.
|
||
object-src
|
'self'
|
Permite especificar los orígenes válidos para los elementos <objet> y <embed>. Esto incluye características del plugin del navegador como Flash, Java y controles ActiveX.
|
||
script-src
|
'self' 'unsafe-eval' 'unsafe-inline'
|
Permite proteger la carga y ejecución de JavaScript.
|
||
style-src
|
'self' 'unsafe-inline'
|
Permite proteger la carga y ejecución de estilos CSS y hojas de estilo.
|
||
worker-src
|
'self'
|
![]() |
Esta nota pertenece a object-src.
Normalmente, al modificar una directiva CSP, la configuración por defecto y la nueva configuración se combinan, de modo que el valor inyectado en la cabecera de CSP incluye el valor por defecto más la nueva configuración. Por ejemplo, el valor por defecto de frame-ancestors es 'self'. Si se actualiza la configuración frame-ancestors para incluir https://*.somedomain.com, el valor final de cabecera es 'self' ‘https://*.somedomain.com’.
Para activar la configuración object-src en 'none', se comporta de forma diferente. En su lugar, la actualización reemplaza el valor por defecto cuando se aumenta la configuración por defecto con la actualización del administrador. Por ejemplo, la configuración por defecto de object-src es 'self'. Si se actualiza object-src a https://*.somedomain.com, la directiva enviada a CSP solo será https://*.somedomain.com. Si desea que se incluya 'self', debe configurar explícitamente object-src en ‘https://*.somedomain.com' 'self’. Si la configuración de object-src incluye 'none', sustituirá a cualquier otra configuración. Por lo tanto, 'self' 'none' es efectivamente 'none'.
|