: Das Script-Element

Dieses Element enthält die globalen Attribute.

async

Für klassische Skripte, wenn das async-Attribut vorhanden ist, dann wird das klassische Skript parallel zum Parsen geholt und ausgewertet, sobald es verfügbar ist.

Wenn das async-Attribut für Modul-Skripte vorhanden ist, dann werden die Skripte und alle ihre Abhängigkeiten in der Defer-Queue ausgeführt, also parallel zum Parsen geholt und ausgewertet, sobald sie verfügbar sind.

Dieses Attribut ermöglicht die Beseitigung von Parser-blockierendem JavaScript, bei dem der Browser Skripte laden und auswerten müsste, bevor er mit dem Parsen fortfährt. defer hat in diesem Fall einen ähnlichen Effekt.

Es handelt sich um ein boolesches Attribut: Das Vorhandensein eines booleschen Attributs auf einem Element stellt den wahren Wert dar, das Fehlen des Attributs den falschen Wert.

Hinweise zur Browserunterstützung finden Sie unter Browser-Kompatibilität. Siehe auch Async-Skripte für asm.js.

crossoriginNormalescript-Elemente übergeben minimale Informationen an daswindow.onerrorfür Skripte, die die Standard-CORS-Prüfungen nicht bestehen. Um eine Fehlerprotokollierung für Sites zu ermöglichen, die eine separate Domain für statische Medien verwenden, verwenden Sie dieses Attribut. Siehe CORS-Einstellungsattribute für eine genauere Erläuterung seiner gültigen Argumente.defer

Dieses boolesche Attribut wird gesetzt, um einem Browser anzuzeigen, dass das Skript ausgeführt werden soll, nachdem das Dokument geparst wurde, aber bevor DOMContentLoaded abgefeuert wird.

Skripte mit dem defer-Attribut verhindern, dass das DOMContentLoaded-Ereignis ausgelöst wird, bis das Skript geladen und fertig ausgewertet ist.

Skripte mit dem defer-Attribut werden in der Reihenfolge ausgeführt, in der sie im Dokument erscheinen.

Dieses Attribut ermöglicht die Eliminierung von Parser-blockierendem JavaScript, bei dem der Browser Skripte laden und auswerten müsste, bevor er mit dem Parsen fortfahren könnte. async hat in diesem Fall einen ähnlichen Effekt.

integrityDieses Attribut enthält Inline-Metadaten, mit denen ein User-Agent überprüfen kann, ob eine abgerufene Ressource frei von unerwarteten Manipulationen geliefert wurde. Siehe Integrität von Subressourcen.nomoduleDieses boolesche Attribut wird gesetzt, um anzuzeigen, dass das Skript in Browsern, die ES2015-Module unterstützen, nicht ausgeführt werden soll – in der Tat kann dies verwendet werden, um Fallback-Skripte an ältere Browser zu liefern, die keinen modularen JavaScript-Code unterstützen.

nonceEine kryptografische Nonce (einmalig verwendete Zahl), um Skripte in einer script-src Content-Security-Policy auf die Whitelist zu setzen. Der Server muss jedes Mal, wenn er eine Richtlinie überträgt, einen eindeutigen Nonce-Wert erzeugen. Es ist wichtig, eine Nonce bereitzustellen, die nicht erraten werden kann, da die Umgehung der Richtlinie einer Ressource ansonsten trivial ist.referrerpolicyGibt an, welcher Referrer beim Abrufen des Skripts bzw. der vom Skript abgerufenen Ressourcen gesendet werden soll:

• no-referrer: Der Referer-Header wird nicht gesendet.
• no-referrer-when-downgrade (Standard): Der Referer-Header wird nicht an Ursprünge ohne TLS (HTTPS) gesendet.
• origin: Der gesendete Referrer wird auf den Ursprung der verweisenden Seite beschränkt: deren Schema, Host und Port.
• origin-when-cross-origin: Der gesendete Referrer wird auf das Schema, den Host und den Port beschränkt. Navigationen auf demselben Ursprung enthalten weiterhin den Pfad.
• same-origin: Bei gleichem Ursprung wird ein Referrer gesendet, aber herkunftsübergreifende Anfragen enthalten keine Referrer-Informationen.
• strict-origin: Senden Sie nur den Ursprung des Dokuments als Referrer, wenn die Protokollsicherheitsstufe gleich bleibt (z. B. HTTPS→HTTPS), aber senden Sie es nicht an ein weniger sicheres Ziel (z. B. HTTPS→HTTP).
• strict-origin-when-cross-origin: Senden Sie eine vollständige URL, wenn Sie eine Anforderung mit gleichem Ursprung ausführen, aber senden Sie nur den Ursprung, wenn die Protokollsicherheitsstufe gleich bleibt (z.z. B. HTTPS→HTTPS), und senden Sie keinen Header an ein weniger sicheres Ziel (z. B. HTTPS→HTTP).
• unsafe-url: Der Referrer enthält den Ursprung und den Pfad (aber nicht das Fragment, das Passwort oder den Benutzernamen). Dieser Wert ist unsicher, da er Ursprünge und Pfade von TLS-geschützten Ressourcen an unsichere Ursprünge weitergibt.

src

Dieses Attribut gibt den URI eines externen Skripts an; dies kann als Alternative zum Einbetten eines Skripts direkt in ein Dokument verwendet werden.

type

Dieses Attribut gibt den Typ des dargestellten Skripts an. Der Wert dieses Attributs gehört zu einer der folgenden Kategorien:

• Ausgelassen oder ein JavaScript-MIME-Typ: Dies zeigt an, dass das Skript JavaScript ist. Die HTML5-Spezifikation fordert die Autoren auf, das Attribut wegzulassen, anstatt einen redundanten MIME-Typ anzugeben. In früheren Browsern identifizierte dies die Skriptsprache des eingebetteten oder importierten (über das Attribut src) Codes. JavaScript-MIME-Typen sind in der Spezifikation aufgeführt.
• module: Bewirkt, dass der Code wie ein JavaScript-Modul behandelt wird. Die Verarbeitung des Script-Inhalts wird durch die Attribute charset und defer nicht beeinflusst. Informationen zur Verwendung von module finden Sie in unserer Anleitung zu JavaScript-Modulen. Im Gegensatz zu klassischen Skripten erfordern Modulskripte die Verwendung des CORS-Protokolls für den herkunftsübergreifenden Abruf.
• Jeder andere Wert: Der eingebettete Inhalt wird als Datenblock behandelt, der vom Browser nicht verarbeitet wird. Entwickler müssen einen gültigen MIME-Typ verwenden, der kein JavaScript-MIME-Typ ist, um Datenblöcke zu kennzeichnen. Das Attribut src wird ignoriert.