CSP:base-uri
HTTP Content-Security-Policy
的 base-uri
指令限制了文档中 <base>
元素中可以使用的 URL。如果此值不存在,则允许使用任何 URI。如果此指令不存在,用户代理将使用 <base>
元素中的值。
CSP 版本 | 2 |
---|---|
指令类型 | 文档指令 |
default-src 回退 |
没有。不设置此项允许任何 URL。 |
语法
可以为 base-uri 策略允许一个或多个源
http
Content-Security-Policy: base-uri <source>;
Content-Security-Policy: base-uri <source> <source>;
来源
此指令使用与其他 CSP 指令相同的 CSP 源值 语法作为参数。但是,只有与 URL 匹配的值对 base-uri
有意义,包括 <host-source>
、<scheme-source>
、'self'
和 'none'
。
示例
元标签配置
html
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" />
Apache 配置
apacheconf
<IfModule mod_headers.c>
Header set Content-Security-Policy "base-uri 'self'";
</IfModule>
Nginx 配置
nginx
add_header Content-Security-Policy "base-uri 'self';"
违规案例
由于您的域名不是 example.com
,因此具有 href
设置为 https://example.com
的 <base>
元素会导致 CSP 违规。
html
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" />
<base href="https://example.com/" />
<!--
// Error: Refused to set the document's base URI to 'https://example.com/'
// because it violates the following Content Security Policy
// directive: "base-uri 'self'"
-->
规范
规范 |
---|
内容安全策略第 3 级 # directive-base-uri |
浏览器兼容性
BCD 表格仅在浏览器中加载