: Het Script element

Dit element bevat de globale attributen.

async

Voor klassieke scripts, als het async attribuut aanwezig is, dan zal het klassieke script parallel aan parsing worden opgehaald en geëvalueerd zodra het beschikbaar is.

Voor module scripts, als het async attribuut aanwezig is, zullen de scripts en al hun afhankelijkheden in de defer queue worden uitgevoerd, dus parallel aan parsing worden opgehaald en geëvalueerd zodra ze beschikbaar zijn.

Dit attribuut maakt het mogelijk om parser-blokkerende JavaScript te elimineren waar de browser scripts zou moeten laden en evalueren voordat hij verder gaat met parsen. defer heeft in dit geval een vergelijkbaar effect.

Dit is een booleaans attribuut: de aanwezigheid van een booleaans attribuut op een element vertegenwoordigt de ware waarde, en de afwezigheid van het attribuut vertegenwoordigt de valse waarde.

Zie Browser compatibiliteit voor opmerkingen over browser ondersteuning. Zie ook Async scripts voor asm.js.

crossoriginNormalescriptelementen geven minimale informatie door aan dewindow.onerrorvoor scripts die niet door de standaard CORS checks komen. Gebruik dit attribuut om fout-logging toe te staan voor sites die een apart domein gebruiken voor statische media. Zie CORS-instellingen attributen voor een meer beschrijvende uitleg van de geldige argumenten.defer

Dit Booleaanse attribuut wordt ingesteld om aan een browser aan te geven dat het script bedoeld is om te worden uitgevoerd nadat het document is geparsed, maar voordat DOMContentLoaded afvuurt.

Scripts met het defer attribuut zullen voorkomen dat het DOMContentLoaded event afgaat totdat het script is geladen en klaar is met evalueren.

Scripts met hetdeferattribuut worden uitgevoerd in de volgorde waarin ze in het document voorkomen.

Dit attribuut maakt het mogelijk parser-blokkerende JavaScript te elimineren, waarbij de browser scripts zou moeten laden en evalueren voordat hij verder gaat met parsen. async heeft in dit geval een vergelijkbaar effect.

integrityDit attribuut bevat inline metadata die een user agent kan gebruiken om te verifiëren dat een opgehaalde bron vrij van onverwachte manipulatie is afgeleverd. Zie Integriteit van subbronnen.nomoduleDit Booleaanse attribuut is ingesteld om aan te geven dat het script niet moet worden uitgevoerd in browsers die ES2015-modules ondersteunen – in feite kan dit worden gebruikt om fallback-scripts te serveren aan oudere browsers die modulaire JavaScript-code niet ondersteunen.

nonceEen cryptografische nonce (eenmalig gebruikt getal) om scripts op de witte lijst te zetten in een script-src Content-Security-Policy. De server moet elke keer dat hij een policy verstuurt een unieke nonce-waarde genereren. Het is van cruciaal belang een nonce te verstrekken die niet kan worden geraden, omdat het omzeilen van het beleid van een bron anders triviaal is.referrerpolicyGeeft aan welke referrer moet worden verzonden bij het ophalen van het script, of bronnen die door het script worden opgehaald:

• no-referrer: De Referer header wordt niet meegestuurd.
• no-referrer-when-downgrade (standaard): De Referer header zal niet worden verzonden naar origins zonder TLS (HTTPS).
• origin: De verzonden referrer zal worden beperkt tot de oorsprong van de verwijzende pagina: zijn schema, host, en poort.
• origin-when-cross-origin: De verwijzer die naar andere origins wordt gestuurd zal worden beperkt tot het schema, de host, en de poort. Navigaties op dezelfde oorsprong zullen nog steeds het pad bevatten.
• same-origin: Een referrer zal worden verzonden voor dezelfde oorsprong, maar cross-origin verzoeken zullen geen referrer informatie bevatten.
• strict-origin: Stuur alleen de oorsprong van het document als referrer wanneer het protocolbeveiligingsniveau hetzelfde blijft (bijv. HTTPS→HTTPS), maar stuur het niet naar een minder veilige bestemming (bijv.b.v. HTTPS→HTTPS), en stuur geen header naar een minder veilige bestemming (b.v. HTTPS→HTTP).
• unsafe-url: De referrer zal de oorsprong en het pad bevatten (maar niet het fragment, wachtwoord of gebruikersnaam). Deze waarde is onveilig, omdat het oorsprong en paden van TLS-beschermde bronnen naar onveilige oorsprong lekt.

src

Dit attribuut specificeert de URI van een extern script; dit kan worden gebruikt als een alternatief voor het direct insluiten van een script in een document.

type

Dit attribuut geeft het type script aan dat wordt weergegeven. De waarde van dit attribuut valt in een van de volgende categorieën:

• Weggelaten of een JavaScript MIME-type: Dit geeft aan dat het script JavaScript is. De HTML5-specificatie dringt er bij auteurs op aan dit attribuut weg te laten in plaats van een overbodig MIME-type op te geven. In eerdere browsers werd hiermee de scripttaal van de ingesloten of geïmporteerde (via het src-attribuut) code aangegeven. JavaScript MIME-typen worden in de specificatie vermeld.
• module: Zorgt ervoor dat de code wordt behandeld als een JavaScript-module. De verwerking van de scriptinhoud wordt niet beïnvloed door de attributen charset en defer. Voor informatie over het gebruik van module, zie onze JavaScript modules gids. In tegenstelling tot klassieke scripts, vereisen module scripts het gebruik van het CORS protocol voor cross-origin fetching.
• Elke andere waarde: De ingesloten inhoud wordt behandeld als een gegevensblok dat niet door de browser zal worden verwerkt. Ontwikkelaars moeten een geldig MIME-type gebruiken dat geen JavaScript MIME-type is om gegevensblokken aan te duiden. Het src attribuut zal worden genegeerd.