CSP: font-src

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

HTTP Content-Security-Policy (CSP 内容安全策略) 中 font-src 指令定义了 @font-face 加载字体的有效源规则。

CSP 版本 1
指令类型 fetch 指令
default-src 回落 是。如果不存在该指令,用户代理将查找 default-src 指令。

语法

font-src 策略可以包含一个或多个源:

Content-Security-Policy: font-src <source>;
Content-Security-Policy: font-src <source> <source>;

源代码

<source> 可以是 CSP 源值列出来的任意一个。

注意,这套相同的值可以用于所有 fetch 指令(以及许多其他指令)。

示例

违规的案例

给定此 CSP 标头:

bash
Content-Security-Policy: font-src https://example.com/

以下的字体源将被阻止,不会加载到浏览器中:

html
<style>
  @font-face {
    font-family: "MyFont";
    src: url("https://not-example.com/font");
  }
  body {
    font-family: "MyFont";
  }
</style>

规范

Specification
Content Security Policy Level 3
# directive-font-src

浏览器兼容性

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
font-src

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support

参见