CSP:object-src
HTTP Content-Security-Policy
的 object-src
指令指定 <object>
和 <embed>
元素的有效源。
注意:受 object-src
控制的元素被认为是传统 HTML 元素,并且没有收到新的标准化功能(例如 <iframe>
的安全属性 sandbox
或 allow
)。因此,建议限制此 fetch 指令(例如,如果可能,显式设置 object-src 'none'
)。
CSP 版本 | 1 |
---|---|
指令类型 | 获取指令 |
default-src 回退 |
是。如果此指令不存在,用户代理将查找 default-src 指令。 |
语法
可以为 object-src
策略允许一个或多个源
http
Content-Security-Policy: object-src <source>;
Content-Security-Policy: object-src <source> <source>;
来源
示例
违反案例
规范
规范 |
---|
内容安全策略级别 3 # 指令-object-src |
浏览器兼容性
BCD 表仅在浏览器中加载