CSP:default-src

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

HTTP Content-Security-Policy(CSP)的 default-src 指令可以为其他 CSP fetch 指令提供回退。对于以下列出的指令,假如不存在的话,那么用户代理会查找并应用 default-src 指令的值:

CSP 版本 1
指令类型 fetch 指令

语法

default-src 策略允许指定一个或多个源:

http
Content-Security-Policy: default-src <source>;
Content-Security-Policy: default-src <source> <source>;

<source> 可以是 CSP 源值中列出的任何值。

注意,这些值可以在所有的 fetch 指令(以及其他指令)中使用。

示例

不继承 default-src 的情况

假如设定了其他指令,那么 default-src 不会对它们起作用。这个标头:

http
Content-Security-Policy: default-src 'self'; script-src https://example.com

与下面的等价:

http
Content-Security-Policy: connect-src 'self';
                         font-src 'self';
                         frame-src 'self';
                         img-src 'self';
                         manifest-src 'self';
                         media-src 'self';
                         object-src 'self';
                         script-src https://example.com;
                         style-src 'self';
                         worker-src 'self'

规范

Specification
Content Security Policy Level 3
# directive-default-src

浏览器兼容性

BCD tables only load in the browser

参见