CSP:default-src
HTTP Content-Security-Policy
(CSP)的 default-src
指令可以为其他 CSP fetch 指令提供回退。对于以下列出的指令,假如不存在的话,那么用户代理会查找并应用 default-src
指令的值:
child-src
connect-src
font-src
frame-src
img-src
manifest-src
media-src
object-src
script-src
style-src
worker-src
CSP 版本 | 1 |
---|---|
指令类型 | fetch 指令 |
语法
default-src
策略允许指定一个或多个源:
http
Content-Security-Policy: default-src <source>;
Content-Security-Policy: default-src <source> <source>;
源
示例
不继承 default-src 的情况
假如设定了其他指令,那么 default-src
不会对它们起作用。这个标头:
http
Content-Security-Policy: default-src 'self'; script-src https://example.com
与下面的等价:
http
Content-Security-Policy: connect-src 'self';
font-src 'self';
frame-src 'self';
img-src 'self';
manifest-src 'self';
media-src 'self';
object-src 'self';
script-src https://example.com;
style-src 'self';
worker-src 'self'
规范
Specification |
---|
Content Security Policy Level 3 # directive-default-src |
浏览器兼容性
BCD tables only load in the browser