CSP:object-src

HTTP Content-Security-Policyobject-src 指令指定 <object><embed> 元素的有效源。

注意:object-src 控制的元素被认为是传统 HTML 元素,并且没有收到新的标准化功能(例如 <iframe> 的安全属性 sandboxallow)。因此,建议限制此 fetch 指令(例如,如果可能,显式设置 object-src 'none')。

CSP 版本 1
指令类型 获取指令
default-src 回退 是。如果此指令不存在,用户代理将查找 default-src 指令。

语法

可以为 object-src 策略允许一个或多个源

http
Content-Security-Policy: object-src <source>;
Content-Security-Policy: object-src <source> <source>;

来源

<source> 可以是 CSP 源值 中列出的任何一个值。

请注意,这组相同的值可以在所有 fetch 指令(以及 其他一些指令)中使用。

示例

违反案例

给定此 CSP 标头

http
Content-Security-Policy: object-src https://example.com/

以下 <object><embed> 元素将被阻止,并且不会加载

html
<embed src="https://not-example.com/flash"></embed>
<object data="https://not-example.com/plugin"></object>

规范

规范
内容安全策略级别 3
# 指令-object-src

浏览器兼容性

BCD 表仅在浏览器中加载

参见