CSP:media-src

HTTP Content-Security-Policy (CSP) 的 media-src 指令指定了使用 <audio><video> 元素加载媒体的有效来源。

CSP 版本 1
指令类型 获取指令
default-src 回退 是。如果此指令不存在,用户代理将查找 default-src 指令。

语法

可以为 media-src 策略允许一个或多个来源

http
Content-Security-Policy: media-src <source>;
Content-Security-Policy: media-src <source> <source>;

来源

<source> 可以是 CSP 来源值 中列出的任何值。

请注意,这套相同的值可用于所有 获取指令(以及 其他一些指令)。

示例

违规情况

鉴于此 CSP 头部

http
Content-Security-Policy: media-src https://example.com/

以下 <audio><video><track> 元素将被阻止,不会加载

html
<audio src="https://not-example.com/audio"></audio>

<video src="https://not-example.com/video">
  <track kind="subtitles" src="https://not-example.com/subtitles" />
</video>

规范

规范
内容安全策略级别 3
# directive-media-src

浏览器兼容性

BCD 表格仅在浏览器中加载

另请参阅