CSP:font-src

HTTP Content-Security-Policy (CSP) 的font-src指令指定了使用@font-face加载字体的有效来源。

CSP 版本 1
指令类型 获取指令
default-src 回退 是。如果缺少此指令,用户代理将查找default-src指令。

语法

可以为font-src策略允许一个或多个来源

http
Content-Security-Policy: font-src <source>;
Content-Security-Policy: font-src <source> <source>;

来源

<source>可以是CSP 来源值中列出的任何一个值。

请注意,所有获取指令(以及一些其他指令)都可以使用相同的这组值。

示例

违规情况

给定此 CSP 标头

http
Content-Security-Policy: font-src https://example.com/

以下字体资源加载将被阻止,并且不会加载

html
<style>
  @font-face {
    font-family: "MyFont";
    src: url("https://not-example.com/font");
  }
  body {
    font-family: "MyFont";
  }
</style>

规范

规范
内容安全策略级别 3
# directive-font-src

浏览器兼容性

BCD 表格仅在浏览器中加载

另请参阅