La directive HTTP Content-Security-Policy img-src sépcifie les sources valides d'images et de favicons.
| Version de CSP | 1 |
|---|---|
| Type de directive | Fetch directive |
default-src par défaut |
Oui, si cette directive est absente, l'agent utilisateur consultera la directive default-src |
Syntaxe
Une ou plusieurs sources peuvent ĂȘtre autorisĂ©es pour cette directive :
Content-Security-Policy: img-src <source>; Content-Security-Policy: img-src <source> <source>;
Sources
La <source> peut ĂȘtre une des suivantes :
- <host-source>
- Des hÎtes Internet par leur nom de domaine ou adresse IP, aussi bien qu'un protocole et/ou un numéro de port. L'adresse du site peut inclure un caractÚre de remplacement optionnel (l'astérisque
'*'), qui ne peut ĂȘtre utilisĂ©e que pour indiquer un sous-domaine ou que tous les ports existants sont des sources valides.
Examples:http://*.example.com: correspondra Ă toutes les tentatives d'accĂšs pour tous les sous-domaines de example.com via le protocolehttp:.mail.example.com:443: correspondra Ă toutes les tentatives d'accĂšs sur le port 443 de mail.example.com.https://store.example.com: correspondra Ă toutes les tentatives d'accĂšs Ă store.example.com via le protocolehttps:.*.example.com: correspondra Ă toutes les tentatives d'accĂšs pour tous les sous-domaines de example.com en utilisant le protocole courant.
- <scheme-source>
- Un protocole tel que
http:ouhttps:. Les deux-points sont nĂ©cessaires. Contrairement Ă d'autres valeurs ci-bas, les guillemets ne devraient pas ĂȘtre employĂ©s. Vous pouvez aussi spĂ©cifier des schĂ©mas de donnĂ©es (quoi que ce ne soit pas recommandĂ©).data:permet aux URIdata:d'ĂȘtre utilisĂ©es comme sources de contenu. Cette pratique manque de sĂ©curitĂ© ; une personne malveillante peut aussi injecter des URI data: arbitraires. Utilisez cette valeur avec parcimonie certainement pas pour des scripts.mediastream:permet aux URImediastream:d'ĂȘtre utilisĂ©es comme source de contenu.blob:permet aux URIblob:d'ĂȘtre utilisĂ©es comme source de contenu.filesystem:Allows URIfilesystem:d'ĂȘtre utilisĂ©es comme source de contenu.
'self'- Cette valeur fait référence au domaine dont est originaire le document protégé, y compris le protocole et le numéro de port. Vous devez mettre cette valeur entre guillemets. Certains navigateurs excluent spécifiquement les valeurs
blobetfilesystemdes directives de source. Les sites nécessitant une permission pour ces types de contenu peuvent les spécifier en utilisant l'attribut Data. 'unsafe-eval'- Permet l'usage de la fonction
eval()et de méthodes similaires pour créer du code à partir de chaines de caractÚres. Vous devez mettre cette valeur entre guillemets. 'unsafe-hashes'- Allows enabling specific inline event handlers. If you only need to allow inline event handlers and not inline
<script>elements orjavascript:URLs, this is a safer method than using theunsafe-inlineexpression. 'unsafe-inline'- Permet l'usage de ressources embarquées, tels que des éléments
<script>(sanssrc), d'URLjavascript:, de gestionnaire d'évÚnement par attributs (on<eventName>), et d'éléments<style>. Vous devez mettre cette valeur entre guillemets. 'none'- Aucune source n'est admise. Vous devez mettre cette valeur entre guillemets.
- 'nonce-<base64-value>'
- Une liste de permissions pour des scripts embarqués spécifiques en utilisant un nonce (number used once, nombre à usage unique) cryptographique. Le serveur doit générer un nonce à chaque fois qu'il transmet une réponse. Il est extrÚmement important de fournir des nonces non prédictibles, puisque le contraire permettrait aisément de contourner la stratégie de sécurité. Voir inline script non fiables pour avoir un exemple. Spécifier un nonce implique que les navigateurs modernes ignoreront la valeur
'unsafe-inline', qui peut toutefois ĂȘtre laissĂ©e pour les anciens navigateurs ne supportant pas les nonces. - '<hash-algorithm>-<base64-value>'
- Un hash sha256, sha384 ou sha512 d'un
<script>ou d'un<style>. L'usage de cette source consiste en deux parties séparées par un tiret : l'algorithme de chiffrage utilisé pour générer le hash à gauche et le hash encodé en base 64 à droite. Lors de la génération du hash, il ne faut pas inclure les balises<script>or<style>et tenir compte de la casse et des caractÚres blancs (espaces, retours à la ligne, etc.). Voir inline script non fiables pour en avoir un exemple. En CSP 2.0, cette valeur ne s'applique qu'aux scripts embarqués. CSP 3.0 le permet aussi dans le cas de scripts externes.
- 'strict-dynamic'
- La source d'expression
strict-dynamicspĂ©cifie que la confiance explicitement donnĂ©e Ă un script de la page, par le biais d'un nonce ou d'un hash, doit ĂȘtre propagĂ©eĂ tous les scripts chargĂ©s par celui-ci. En consĂ©quence, toute liste de permissions ou expressions de sources telles que'self'ou'unsafe-inline'sont ignorĂ©es. Voir script-src pour en avoir un exemple.
- 'report-sample'
- Requiert qu'un échantillon du code violant la directive soit inclut dans le rapport envoyé.
Exemples
Cas de violation
Soit cet en-tĂȘte CSP :
Content-Security-Policy: img-src https://example.com/Cet élément <img> est bloqué et ne se chargera pas :
<img src="https://not-example.com/foo.jpg" alt="example picture">Spécifications
| Spécification | Statut | Commentaire |
|---|---|---|
| Content Security Policy Level 3 La définition de 'img-src' dans cette spécification. |
Version de travail | Inchangé. |
| Content Security Policy Level 2 La définition de 'img-src' dans cette spécification. |
Recommendation | DĂ©finition initiale. |
Compatibilité des navigateurs
BCD tables only load in the browser
The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.