CSP: font-src
HTTP Content-Security-Policy (CSP 内容安全策略) 中 font-src 指令定义了 @font-face 加载字体的有效源规则。
| CSP 版本 | 1 |
|---|---|
| 指令类型 | fetch 指令 |
default-src 回落 |
是。如果不存在该指令,用户代理将查找 default-src 指令。 |
语法
font-src 策略可以包含一个或多个源:
Content-Security-Policy: font-src <source>; Content-Security-Policy: font-src <source> <source>;
源代码
<source> 可以是 CSP 源值 (en-US)列出来的任意一个。
注意,这套相同的值可以用于所有 fetch 指令(以及许多其他指令 (en-US))。
示例
违规的案例
给定此 CSP 标头:
bash
Content-Security-Policy: font-src https://example.com/
以下的字体源将被阻止,不会加载到浏览器中:
html
<style>
@font-face {
font-family: "MyFont";
src: url("https://not-example.com/font");
}
body {
font-family: "MyFont";
}
</style>
规范
| Specification |
|---|
| Content Security Policy Level 3 # directive-font-src |
浏览器兼容性
BCD tables only load in the browser
参见
Content-Security-Policy(内容安全策略)@font-face