CSP: font-src

HTTP Content-Security-Policy (CSP 内容安全策略) 中 font-src 指令定义了 @font-face 加载字体的有效源规则。

CSP 版本 1
指令类型 Fetch directive
default-src 替代 是。如果 font-src 没有指定,则使用 default-src 指令。

语法

font-src 策略可以包含一个或多个源:

Content-Security-Policy: font-src <source>;
Content-Security-Policy: font-src <source> <source>;

源代码

<source> can be any one of the values listed in CSP Source Values.

Note that this same set of values can be used in all fetch directives (and a number of other directives).

示例

反例

给出这个 CSP 头:

Content-Security-Policy: font-src https://example.com/

以下的字体源将被阻止,不会加载到浏览器中:

<style>
  @font-face {
    font-family: "MyFont";
    src: url("https://not-example.com/font");
  }
  body {
    font-family: "MyFont";
  }
</style>

规范

Specification
Content Security Policy Level 3
# directive-font-src

浏览器兼容性

BCD tables only load in the browser

See also