Content-Security-Policy

HTTP の Content-Security-Policy レスポンスヘッダーは、ウェブサイト管理者が、あるページにユーザーエージェントが読み込みを許可されたリソースを管理できるようにします。いくつかの例外を除いて、大半のポリシーにはサーバーオリジンとスクリプトエンドポイントの指定を含んでいます。これはクロスサイトスクリプティング攻撃 (XSS) を防ぐのに役立ちます。

より詳細な情報は、 Content Security Policy (CSP) の入門記事を参照してください。

ヘッダー種別	レスポンスヘッダー
禁止ヘッダー名	いいえ

構文

Content-Security-Policy: <policy-directive>; <policy-directive>

ここで、 <policy-directive> は次の要素で構成されます: <directive> <value> 内部の句読点なし。

ディレクティブ

フェッチディレクティブ

フェッチディレクティブは、特定のリソース種別がロードされうる場所を制御します。

Content Security Policy フェッチディレクティブの一覧

child-src: ウェブワーカーと、 <frame> や <iframe> のような要素によってロードされる入れ子状の閲覧コンテキストに対する有効なソースを定義します。

複合した閲覧コンテキストやワーカーを制御するには、それぞれ frame-src および worker-src を child-src の代わりに使用してください。
connect-src: script インターフェースによってロードされる URL を制限します。
default-src: 別の Fetch ディレクティブに対する代替として提供します。
font-src: @font-face によってロードされるフォントに対する有効なソースを指定します。
frame-src: <frame> や <iframe> のような要素によってロードされる入れ子状のコンテンツの閲覧に対する有効なソースを指定します。
img-src: 画像や favicon に対する有効なソースを定義します。
manifest-src: アプリケーションのマニフェストファイルに対する有効なソースを指定します。
media-src: <audio>、<video> や <track> 要素によってロードするメディアに対する有効なソースを指定します。
object-src: <object>、 <embed> や <applet> 要素に対する有効なソースを指定します。; object-src で制御される要素は、おそらく古い HTML 要素に該当すると見なされ、新しい標準機能が利用できません (セキュリティ属性の sandbox や <iframe> の allow など)。従って、このフェッチディレクティブで制限を掛けることが推奨されます (例えば、可能であれば object-src 'none' を設定するなど)。
prefetch-src: 事前にフェッチされるか描画される有効なソースを指定します。
script-src: JavaScript に対する有効なソースを指定します。
script-src-elem: JavaScript の <script> 要素に対する有効なソースを指定します。
script-src-attr: JavaScript のインラインイベントハンドラーに対する有効なソースを指定します。

style-src: スタイルシートに対する有効なソースを指定します。
style-src-elem: スタイルシートの <style> および <link> 要素に rel="stylesheet" がついたもののに対する有効なソースを指定します。
style-src-attr: 個々の DOM 要素に適用されるインラインスタイルの有効なソースを指定します。
worker-src: Worker, SharedWorker, ServiceWorker スクリプトに対する有効なソースを指定します。

文書ディレクティブ

文書ディレクティブは、ポリシーが適用される文書もしくは Worker 環境のプロパティを管理します。

Content Security Policy 文書ディレクティブの一覧

base-uri: 文書の <base> 要素で使用される URL を制限します。
plugin-types: ロードされるリソースのタイプを限定することで、文書に埋め込まれるプラグインの組を制限します。
sandbox: <iframe> と sandbox 属性に類似した要求リソースに対してサンドボックスを有効にします。

ナビゲーションディレクティブ

ナビゲーションディレクティブは、例えばユーザーが移動する場所やフォームを送信する場所を管理します。

Content Security Policy ナビゲーションディレクティブの一覧

form-action: 指定のコンテキストからフォームの送信先として使用される URL を制限します。
frame-ancestors: <frame>, <iframe>, <object>, <embed>, もしくは <applet> によってページに埋め込まれた有効な親を指定します。
navigate-to: <form> (form-action が指定されていない場合), <a>, window.location, window.open, など、あらゆる方法で文書からナビゲーションを行うことができる URL を制限します。

報告ディレクティブ

報告ディレクティブは CSP 違反の報告過程を制御します。 Content-Security-Policy-Report-Only ヘッダーも参照してください。

Content Security Policy 報告ディレクティブの一覧

report-uri

ユーザーエージェントにコンテンツセキュリティポリシーの違反を報告するよう指示します。これらの違反の報告は、 JSON 文書を HTTP の POST リクエストで指定された URI に送信することで行われます。

report-to ディレクティブは非推奨の report-uri ディレクティブを置き換えることを意図していますが、 report-to はまだ多くのブラウザーで対応されていません。そのため、ブラウザーで report-to の対応が行われるまでは現在のブラウザーとの互換性のため、 report-uri および report-to の両方を指定することができます。

Content-Security-Policy: ...; report-uri https://endpoint.example.com; report-to groupname

report-to に対応したブラウザーでは、 report-uri ディレクティブは無視されます。

report-to

SecurityPolicyViolationEvent を発生させます。

その他のディレクティブ

block-all-mixed-content: ページが HTTPS を使用して読み込まれた際に、 HTTP を使用して資産を読み込むことを防止します。
referrer: ページから離れる際の Referer ヘッダー内の情報を指定するために使用されていました。代わりに Referrer-Policy ヘッダーを使用してください。
require-sri-for: ページ上のスクリプトやスタイルに SRI の使用を要求します。
require-trusted-types-for: DOM XSS インジェクションシンクで Trusted Types を強制します。

trusted-types: Trusted Types ポリシーのホワイトリストを指定するために使用します (Trusted Types は、アプリケーションが DOM XSS インジェクションシンクをロックダウンして、文字列の代わりにスプーフィング不可能な型付きの値のみを受け入れるようにします)。

upgrade-insecure-requests: 安全でない URL (HTTP で提供されているもの) をすべて安全な URL (HTTPS で提供されているもの) に置き換えたかのように扱うようにユーザエージェントに指示します。このディレクティブは、書き換えが必要な安全でない古い URL が大量にあるウェブサイトを対象としています。

Worker 内の CSP

Worker は、一般的に文書 (もしくは親 Worker) の Content Security Policy によって管理されません。Worker に対する Content Security Policy を指定するには、Worker スクリプト自身が要求したリクエストに対して Content-Security-Policy レスポンスヘッダーを設定して下さい。

Worker スクリプトのオリジンがグローバルで一意の識別子の場合、(例えば、URL がデータやブロブのスキーマの場合)、例外に当たります。この場合、Worker は文書もしくは作成元の Worker の Content Security Policy を継承します。

複数の CSP

CSP では、Content-Security-Policy ヘッダー、Content-Security-Policy-Report-Only ヘッダーや <meta> 要素を経由したものを含む、リソースに対して複数のポリシーを指定することができます。

以下の例のように、 Content-Security-Policy ヘッダーを複数回使うことができます。ここでは connect-src ディレクティブに特に注意してください。2つ目のポリシーでは接続を許可しているにもかかわらず、1つ目のポリシーには connect-src 'none' が含まれています。追加のポリシーを追加すると、保護されたリソースの機能がさらに制限することができるだけで、接続は許可されず、最も厳密なポリシーとして connect-src 'none' が強制されます。

Content-Security-Policy: default-src 'self' http://example.com;
                         connect-src 'none';
Content-Security-Policy: connect-src http://example.com/;
                         script-src http://example.com/

例

例: 安全でない inline/eval を無効にし、https 経由でのリソース (画像、フォント、スクリプトなど) のロードを許します。

// ヘッダー
Content-Security-Policy: default-src https:

// メタタグ
<meta http-equiv="Content-Security-Policy" content="default-src https:">

例: 修正のためにインラインコードを多用している既存のサイトで、https 経由でのみロードされるリソースを明確にし、プラグインを無効にします。

Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'

例: 上記のポリシーを実装せず、代わりに、発生するであろう違反を報告します。

Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/

その他の例は、 Mozilla Web Security Guidelines を参照して下さい。

仕様書

仕様書	状態	備考
Content Security Policy Level 3	草案	`manifest-src`, `navigate-to`, `report-to`, `strict-dynamic`, `worker-src` を追加。 `frame-src` の非推奨を解除。 `report-uri` を `report-to` の代わりに非推奨化。
Mixed Content	勧告候補	`block-all-mixed-content` を追加。
Subresource Integrity	勧告	`require-sri-for` を追加。
Upgrade Insecure Requests	勧告候補	`upgrade-insecure-requests` を追加。
Content Security Policy Level 2	勧告	`base-uri`, `child-src`, `form-action`, `frame-ancestors`, `plugin-types`, `referrer`, `report-uri` を追加。 `frame-src` を非推奨化。
Content Security Policy 1.0	廃止された	`connect-src`, `default-src`, `font-src`, `frame-src`, `img-src`, `media-src`, `object-src`, report-uri, `sandbox`, `script-src,`, `style-src` を定義。

ブラウザーの互換性

Update compatibility data on GitHub

	デスクトップ						モバイル
	Chrome	Edge	Firefox	Internet Explorer	Opera	Safari	Android webview	Android 版 Chrome	Android 版 Firefox	Android 版 Opera	iOSのSafari	Samsung Internet
`Content-Security-Policy`	Chrome 完全対応 25 完全対応 25 完全対応 14 代替名代替名非標準の名前 `X-Webkit-CSP` を使用しています。	Edge 完全対応 14	Firefox 完全対応 23 完全対応 23 完全対応 4 代替名代替名非標準の名前 `X-Content-Security-Policy` を使用しています。	IE 完全対応 10 補足代替名完全対応 10 補足代替名補足 Only supporting 'sandbox' directive. 代替名非標準の名前 `X-Content-Security-Policy` を使用しています。	Opera 完全対応 15	Safari 完全対応 7 完全対応 7 完全対応 6 代替名代替名非標準の名前 `X-Webkit-CSP` を使用しています。	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 23	Opera Android 完全対応あり	Safari iOS 完全対応 7 完全対応 7 完全対応 5.1 補足補足 X-Webkit-CSP	Samsung Internet Android 完全対応あり
`base-uri`	Chrome 完全対応 40	Edge 完全対応 79	Firefox 完全対応 35	IE 未対応なし	Opera 完全対応 27	Safari 完全対応 10	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 35	Opera Android ?	Safari iOS 完全対応 9.3	Samsung Internet Android 完全対応あり
`block-all-mixed-content`	Chrome 完全対応あり	Edge 完全対応 ≤79	Firefox 完全対応 48	IE 未対応なし	Opera 完全対応あり	Safari ?	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 48	Opera Android ?	Safari iOS ?	Samsung Internet Android 完全対応あり
`child-src`	Chrome 完全対応 40	Edge 完全対応 15	Firefox 完全対応 45	IE 未対応なし	Opera 完全対応 27	Safari 完全対応 10	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 45	Opera Android ?	Safari iOS 完全対応 9.3	Samsung Internet Android 完全対応あり
`connect-src`	Chrome 完全対応 25	Edge 完全対応 14	Firefox 完全対応 23 補足完全対応 23 補足補足 Prior to Firefox 50, ping attributes of <a> elements weren't covered by connect-src.	IE 未対応なし	Opera 完全対応 15	Safari 完全対応 7	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 23	Opera Android ?	Safari iOS 完全対応 7	Samsung Internet Android 完全対応あり
`default-src`	Chrome 完全対応 25	Edge 完全対応 14	Firefox 完全対応 23	IE 未対応なし	Opera 完全対応 15	Safari 完全対応 7	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 23	Opera Android ?	Safari iOS 完全対応 7	Samsung Internet Android 完全対応あり
`font-src`	Chrome 完全対応 25	Edge 完全対応 14	Firefox 完全対応 23	IE 未対応なし	Opera 完全対応 15	Safari 完全対応 7	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 23	Opera Android ?	Safari iOS 完全対応 7	Samsung Internet Android 完全対応あり
`form-action`	Chrome 完全対応 40	Edge 完全対応 15	Firefox 完全対応 36	IE 未対応なし	Opera 完全対応 27	Safari 完全対応 10	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 36	Opera Android ?	Safari iOS 完全対応 9.3	Samsung Internet Android 完全対応あり
`frame-ancestors`	Chrome 完全対応 40	Edge 完全対応 15	Firefox 完全対応 33 補足完全対応 33 補足補足 Before Firefox 58, `frame-ancestors` is ignored in `Content-Security-Policy-Report-Only`.	IE 未対応なし	Opera 完全対応 26	Safari 完全対応 10	WebView Android ?	Chrome Android 完全対応あり	Firefox Android 完全対応 33 補足完全対応 33 補足補足 Before Firefox for Android 58, `frame-ancestors` is ignored in `Content-Security-Policy-Report-Only`.	Opera Android ?	Safari iOS 完全対応 9.3	Samsung Internet Android 完全対応あり
`frame-src`	Chrome 完全対応 25	Edge 完全対応 14	Firefox 完全対応 23	IE 未対応なし	Opera 完全対応 15	Safari 完全対応 7	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 23	Opera Android ?	Safari iOS 完全対応 7	Samsung Internet Android 完全対応あり
`img-src`	Chrome 完全対応 25	Edge 完全対応 14	Firefox 完全対応 23	IE 未対応なし	Opera 完全対応 15	Safari 完全対応 7	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 23	Opera Android ?	Safari iOS 完全対応 7	Samsung Internet Android 完全対応あり
`manifest-src`	Chrome 完全対応あり	Edge 完全対応 79	Firefox 完全対応 41	IE 未対応なし	Opera 完全対応あり	Safari 未対応なし	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 41	Opera Android ?	Safari iOS 未対応なし	Samsung Internet Android 完全対応あり
`media-src`	Chrome 完全対応 25	Edge 完全対応 14	Firefox 完全対応 23	IE 未対応なし	Opera 完全対応 15	Safari 完全対応 7	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 23	Opera Android ?	Safari iOS 完全対応 7	Samsung Internet Android 完全対応あり
`<meta>` element support	Chrome 完全対応あり	Edge 完全対応 ≤18	Firefox 完全対応 45	IE 未対応なし	Opera 完全対応あり	Safari 完全対応あり	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 45	Opera Android 完全対応あり	Safari iOS 完全対応あり	Samsung Internet Android 完全対応あり
`navigate-to` 実験的	Chrome 未対応なし	Edge 未対応なし	Firefox 未対応なし	IE 未対応なし	Opera 未対応なし	Safari 未対応なし	WebView Android 未対応なし	Chrome Android 未対応なし	Firefox Android 未対応なし	Opera Android 未対応なし	Safari iOS 未対応なし	Samsung Internet Android 未対応なし
`object-src`	Chrome 完全対応 25	Edge 完全対応 14	Firefox 完全対応 23	IE 未対応なし	Opera 完全対応 15	Safari 完全対応 7	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 23	Opera Android ?	Safari iOS 完全対応 7	Samsung Internet Android 完全対応あり
`plugin-types`	Chrome 完全対応 40	Edge 完全対応 15	Firefox 未対応なし補足未対応なし補足補足 See bug 1045899.	IE 未対応なし	Opera 完全対応 27	Safari 完全対応 10	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 未対応なし	Opera Android ?	Safari iOS 完全対応 9.3	Samsung Internet Android 完全対応あり
`prefetch-src` 実験的	Chrome 未対応なし補足未対応なし補足補足 See bug 801561.	Edge 未対応なし補足未対応なし補足補足 See bug 801561.	Firefox 未対応なし補足未対応なし補足補足 See bug 1457204.	IE 未対応なし	Opera 未対応なし	Safari 未対応なし補足未対応なし補足補足 See bug 185070.	WebView Android 未対応なし補足未対応なし補足補足 See bug 801561.	Chrome Android 未対応なし補足未対応なし補足補足 See bug 801561.	Firefox Android 未対応なし補足未対応なし補足補足 See bug 1457204.	Opera Android 未対応なし	Safari iOS 未対応なし補足未対応なし補足補足 See bug 185070.	Samsung Internet Android 未対応なし
`referrer` 非推奨非標準	Chrome 未対応 33 — 56	Edge 未対応なし	Firefox 未対応 37 — 62	IE 未対応なし	Opera 未対応 ? — 43	Safari 未対応なし	WebView Android 未対応 4.4.3 — 56	Chrome Android 未対応 33 — 56	Firefox Android 未対応 37 — 62	Opera Android 未対応 ? — 43	Safari iOS 未対応なし	Samsung Internet Android 未対応 2.0 — 6.0
`report-sample` 実験的	Chrome 完全対応 59	Edge 完全対応 ≤79	Firefox ?	IE ?	Opera 完全対応 46	Safari ?	WebView Android 完全対応 59	Chrome Android 完全対応 59	Firefox Android ?	Opera Android 完全対応 43	Safari iOS ?	Samsung Internet Android 完全対応 7.0
`report-to`	Chrome 完全対応 70	Edge 完全対応 79	Firefox 未対応なし	IE 未対応なし	Opera 未対応なし	Safari 未対応なし	WebView Android 完全対応 70	Chrome Android 完全対応 70	Firefox Android 未対応なし	Opera Android 未対応なし	Safari iOS 未対応なし	Samsung Internet Android 完全対応 10.0
`report-uri` 非推奨	Chrome 完全対応 25	Edge 完全対応 14	Firefox 完全対応 23	IE 未対応なし	Opera 完全対応 15	Safari 完全対応 7	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 23	Opera Android ?	Safari iOS 完全対応 7	Samsung Internet Android 完全対応あり
`require-sri-for` 実験的非推奨非標準	Chrome 完全対応 54	Edge 完全対応 79	Firefox 未対応 49 — 68 無効未対応 49 — 68 無効無効 From version 49 until version 68 (exclusive): this feature is behind the `security.csp.experimentalEnabled` preference (needs to be set to `true`). To change preferences in Firefox, visit about:config.	IE 未対応なし	Opera 完全対応 41	Safari 未対応なし	WebView Android 完全対応 54	Chrome Android 完全対応 54	Firefox Android 未対応 49 — 68 無効未対応 49 — 68 無効無効 From version 49 until version 68 (exclusive): this feature is behind the `security.csp.experimentalEnabled` preference (needs to be set to `true`). To change preferences in Firefox, visit about:config.	Opera Android 完全対応 41	Safari iOS 未対応なし	Samsung Internet Android 完全対応 6.0
`sandbox`	Chrome 完全対応 25	Edge 完全対応 14	Firefox 完全対応 50	IE 完全対応 10	Opera 完全対応 15	Safari 完全対応 7	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 50	Opera Android ?	Safari iOS 完全対応 7	Samsung Internet Android 完全対応あり
`script-src`	Chrome 完全対応 25	Edge 完全対応 14	Firefox 完全対応 23	IE 未対応なし	Opera 完全対応 15	Safari 完全対応 7	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 23	Opera Android ?	Safari iOS 完全対応 7	Samsung Internet Android 完全対応あり
`script-src-attr` 実験的	Chrome 完全対応 75	Edge 完全対応 79	Firefox 未対応なし補足未対応なし補足補足 See bug 1529337.	IE 未対応なし	Opera 完全対応 62	Safari 未対応なし	WebView Android 完全対応 75	Chrome Android 完全対応 75	Firefox Android 未対応なし補足未対応なし補足補足 See bug 1529337.	Opera Android ?	Safari iOS 未対応なし	Samsung Internet Android 未対応なし
`script-src-elem` 実験的	Chrome 完全対応 75	Edge 完全対応 79	Firefox 未対応なし補足未対応なし補足補足 See bug 1529337.	IE 未対応なし	Opera 完全対応 62	Safari 未対応なし	WebView Android 完全対応 75	Chrome Android 完全対応 75	Firefox Android 未対応なし補足未対応なし補足補足 See bug 1529337.	Opera Android ?	Safari iOS 未対応なし	Samsung Internet Android 未対応なし
`strict-dynamic`	Chrome 完全対応 52	Edge 完全対応 79	Firefox 完全対応 52	IE 未対応なし	Opera 完全対応 39	Safari 未対応なし	WebView Android 完全対応 52	Chrome Android 完全対応 52	Firefox Android 未対応なし	Opera Android 完全対応 41	Safari iOS 未対応なし	Samsung Internet Android 完全対応 6.0
`style-src`	Chrome 完全対応 25	Edge 完全対応 14	Firefox 完全対応 23	IE 未対応なし	Opera 完全対応 15	Safari 完全対応 7	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 23	Opera Android ?	Safari iOS 完全対応 7	Samsung Internet Android 完全対応あり
`style-src-attr` 実験的	Chrome 完全対応 75	Edge 完全対応 79	Firefox 未対応なし補足未対応なし補足補足 See bug 1529338.	IE 未対応なし	Opera 完全対応 62	Safari 未対応なし	WebView Android 完全対応 75	Chrome Android 完全対応 75	Firefox Android 未対応なし補足未対応なし補足補足 See bug 1529338.	Opera Android ?	Safari iOS 未対応なし	Samsung Internet Android 未対応なし
`style-src-elem` 実験的	Chrome 完全対応 75	Edge 完全対応 79	Firefox 未対応なし補足未対応なし補足補足 See bug 1529338.	IE 未対応なし	Opera 完全対応 62	Safari 未対応なし	WebView Android 完全対応 75	Chrome Android 完全対応 75	Firefox Android 未対応なし補足未対応なし補足補足 See bug 1529338.	Opera Android ?	Safari iOS 未対応なし	Samsung Internet Android 未対応なし
`trusted-types` 実験的	Chrome 完全対応 83 完全対応 83 未対応 73 — 76 無効無効 From version 73 until version 76 (exclusive): this feature is behind the `#enable-experimental-productivity-features` preference (needs to be set to `Enabled`). To change preferences in Chrome, visit chrome://flags.	Edge ?	Firefox 未対応なし	IE 未対応なし	Opera 未対応なし	Safari 未対応なし	WebView Android 完全対応 83	Chrome Android 完全対応 83 完全対応 83 未対応 73 — 76 無効無効 From version 73 until version 76 (exclusive): this feature is behind the `#enable-experimental-productivity-features` preference (needs to be set to `Enabled`). To change preferences in Chrome, visit chrome://flags.	Firefox Android 未対応なし	Opera Android 未対応なし	Safari iOS 未対応なし	Samsung Internet Android 未対応なし
`unsafe-hashes`	Chrome 完全対応 69	Edge 完全対応 79	Firefox 未対応なし補足未対応なし補足補足 See bug 1343950.	IE 未対応なし	Opera 完全対応 56	Safari 未対応なし	WebView Android 完全対応 69	Chrome Android 完全対応 69	Firefox Android 未対応なし	Opera Android 完全対応 48	Safari iOS 未対応なし	Samsung Internet Android 未対応なし
`upgrade-insecure-requests`	Chrome 完全対応 43	Edge 完全対応 17	Firefox 完全対応 42	IE 未対応なし	Opera 完全対応 30	Safari 完全対応 10.1	WebView Android 完全対応 43	Chrome Android 完全対応 43	Firefox Android 完全対応 42	Opera Android 完全対応 30	Safari iOS 完全対応 10.3	Samsung Internet Android 完全対応 4.0
Worker support	Chrome 完全対応あり	Edge 完全対応 ≤79	Firefox 完全対応 50	IE 未対応なし	Opera ?	Safari 完全対応 10	WebView Android 完全対応あり	Chrome Android 完全対応あり	Firefox Android 完全対応 50	Opera Android ?	Safari iOS 完全対応 10	Samsung Internet Android 完全対応あり
`worker-src`	Chrome 完全対応 59 補足完全対応 59 補足補足 Chrome 59 and higher skips the deprecated `child-src` directive.	Edge 完全対応 79	Firefox 完全対応 58	IE 未対応なし	Opera 完全対応 48	Safari 未対応なし	WebView Android 完全対応 59 補足完全対応 59 補足補足 Chrome 59 and higher skips the deprecated `child-src` directive.	Chrome Android 完全対応 59 補足完全対応 59 補足補足 Chrome 59 and higher skips the deprecated `child-src` directive.	Firefox Android 完全対応 58	Opera Android 完全対応 45	Safari iOS 未対応なし	Samsung Internet Android 完全対応 7.0

凡例

完全対応: 完全対応
未対応: 未対応
実装状況不明: 実装状況不明
実験的。動作が変更される可能性があります。: 実験的。動作が変更される可能性があります。
非標準。ブラウザー間の互換性が低い可能性があります。: 非標準。ブラウザー間の互換性が低い可能性があります。
非推奨。新しいウェブサイトでは使用しないでください。: 非推奨。新しいウェブサイトでは使用しないでください。
実装ノートを参照してください。: 実装ノートを参照してください。
ユーザーが明示的にこの機能を有効にしなければなりません。: ユーザーが明示的にこの機能を有効にしなければなりません。
非標準の名前を使用しています。: 非標準の名前を使用しています。

構文