CSP: plugin-types

非推奨: この機能は非推奨になりました。まだ対応しているブラウザーがあるかもしれませんが、すでに関連するウェブ標準から削除されているか、削除の手続き中であるか、互換性のためだけに残されている可能性があります。使用を避け、できれば既存のコードは更新してください。このページの下部にある互換性一覧表を見て判断してください。この機能は突然動作しなくなる可能性があることに注意してください。

非標準: この機能は標準ではなく、標準化の予定もありません。公開されているウェブサイトには使用しないでください。ユーザーによっては使用できないことがあります。実装ごとに大きな差があることもあり、将来は振る舞いが変わるかもしれません。

HTTP の Content-Security-Policy (CSP) における plugin-types ディレクティブは、文書に埋め込むことができるプラグインのセットを、読み込むことができるリソースの種類を制限することによって制限します。

<embed>, <object>, <applet> の各要素のインスタンス化は、次の場合に失敗します。

  • 要素が妥当な MIME 型を宣言していなかった場合
  • 宣言された型が plugin-types ディレクティブで指定されたもののいずれにも一致しなかった場合
  • 読み込まれたリソースが宣言された型に一致しなかった場合
CSP バージョン 2
ディレクティブ種別 文書ディレクティブ
default-src による代替 なし。これを設定しないと何でも許可される。

構文

1 つ以上の MIME タイプplugin-types ポリシーに設定することができます。

http
Content-Security-Policy: plugin-types <type>/<subtype>;
Content-Security-Policy: plugin-types <type>/<subtype> <type>/<subtype>;

プラグインを不許可にする

全てのプラグインを不許可にするには、 object-src ディレクティブを 'none' に設定すればプラグインが不許可になります。 plugin-types ディレクティブは、 object-src でプラグインを許可している場合に限って使用することができます。

html
<meta http-equiv="Content-Security-Policy" content="object-src 'none'" />

Java アプレットの許可

<applet> を読み込むには、 application/x-java-applet を指定する必要があります。

http
Content-Security-Policy: plugin-types application/x-java-applet

仕様書

現在のどの仕様にも属していません。以前は CSP 2 で定義されていました。

ブラウザーの互換性

BCD tables only load in the browser

関連情報