CSP:base-uri

HTTP Content-Security-Policybase-uri 指令限制了文档中 <base> 元素中可以使用的 URL。如果此值不存在,则允许使用任何 URI。如果此指令不存在,用户代理将使用 <base> 元素中的值。

CSP 版本 2
指令类型 文档指令
default-src 回退 没有。不设置此项允许任何 URL。

语法

可以为 base-uri 策略允许一个或多个

http
Content-Security-Policy: base-uri <source>;
Content-Security-Policy: base-uri <source> <source>;

来源

此指令使用与其他 CSP 指令相同的 CSP 源值 语法作为参数。但是,只有与 URL 匹配的值对 base-uri 有意义,包括 <host-source><scheme-source>'self''none'

示例

元标签配置

html
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" />

Apache 配置

apacheconf
<IfModule mod_headers.c>
Header set Content-Security-Policy "base-uri 'self'";
</IfModule>

Nginx 配置

nginx
add_header Content-Security-Policy "base-uri 'self';"

违规案例

由于您的域名不是 example.com,因此具有 href 设置为 https://example.com<base> 元素会导致 CSP 违规。

html
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'" />
<base href="https://example.com/" />

<!--
// Error: Refused to set the document's base URI to 'https://example.com/'
// because it violates the following Content Security Policy
// directive: "base-uri 'self'"
-->

规范

规范
内容安全策略第 3 级
# directive-base-uri

浏览器兼容性

BCD 表格仅在浏览器中加载

另请参阅