CSP:font-src
HTTP Content-Security-Policy
(CSP) 的font-src
指令指定了使用@font-face
加载字体的有效来源。
CSP 版本 | 1 |
---|---|
指令类型 | 获取指令 |
default-src 回退 |
是。如果缺少此指令,用户代理将查找default-src 指令。 |
语法
可以为font-src
策略允许一个或多个来源
http
Content-Security-Policy: font-src <source>;
Content-Security-Policy: font-src <source> <source>;
来源
示例
违规情况
给定此 CSP 标头
http
Content-Security-Policy: font-src https://example.com/
以下字体资源加载将被阻止,并且不会加载
html
<style>
@font-face {
font-family: "MyFont";
src: url("https://not-example.com/font");
}
body {
font-family: "MyFont";
}
</style>
规范
规范 |
---|
内容安全策略级别 3 # directive-font-src |
浏览器兼容性
BCD 表格仅在浏览器中加载