Content-Security-Policy: font-src Direktive
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Die HTTP Content-Security-Policy (CSP)
font-src Direktive legt gültige Quellen für Schriften fest, die mit @font-face geladen werden.
| CSP-Version | 1 |
|---|---|
| Direktivtyp | Fetch-Direktive |
default-src Fallback |
Ja. Wenn diese Direktive fehlt, wird der User-Agent nach der
default-src Direktive suchen.
|
Syntax
Content-Security-Policy: font-src 'none';
Content-Security-Policy: font-src <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'-
Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind zwingend erforderlich.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von source expression Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quellausdruckswerte anwendbar:
Beispiele
Verletzungsfälle
Gegeben ist dieser CSP-Header:
Content-Security-Policy: font-src https://example.com/
Das folgende Schriftarten-Ressourcenladen wird blockiert und nicht geladen:
<style>
@font-face {
font-family: "MyFont";
src: url("https://not-example.com/font");
}
body {
font-family: "MyFont";
}
</style>
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-font-src |