CSP:default-src

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

HTTP Content-Security-Policy(CSP)的 default-src 指令可以为其他 CSP fetch 指令提供回退。对于以下列出的指令,假如不存在的话,那么用户代理会查找并应用 default-src 指令的值:

CSP 版本 1
指令类型 fetch 指令

语法

default-src 策略允许指定一个或多个源:

http
Content-Security-Policy: default-src <source>;
Content-Security-Policy: default-src <source> <source>;

<source> 可以是 CSP 源值中列出的任何值。

注意,这些值可以在所有的 fetch 指令(以及其他指令)中使用。

示例

不继承 default-src 的情况

假如设定了其他指令,那么 default-src 不会对它们起作用。这个标头:

http
Content-Security-Policy: default-src 'self'; script-src https://example.com

与下面的等价:

http
Content-Security-Policy: connect-src 'self';
                         font-src 'self';
                         frame-src 'self';
                         img-src 'self';
                         manifest-src 'self';
                         media-src 'self';
                         object-src 'self';
                         script-src https://example.com;
                         style-src 'self';
                         worker-src 'self'

规范

Specification
Content Security Policy Level 3
# directive-default-src

浏览器兼容性

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
default-src

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support

参见