CSP:style-src-elem

HTTP Content-Security-Policy (CSP) 的 style-src-elem 指令指定了样式表 <style> 元素和具有 rel="stylesheet" 属性的 <link> 元素的有效来源。

该指令不会设置内联样式属性的有效来源;这些属性使用 style-src-attr 设置(所有样式的有效来源可以使用 style-src 设置)。

CSP 版本 3
指令类型 获取指令
default-src 回退

是。如果该指令缺失,用户代理将查找 style-src 指令,如果两者都缺失,则回退到 default-src 指令。

语法

style-src-elem 策略允许一个或多个来源

http
Content-Security-Policy: style-src-elem <source>;
Content-Security-Policy: style-src-elem <source> <source>;

style-src-elem 可以与 style-src 结合使用

http
Content-Security-Policy: style-src <source>;
Content-Security-Policy: style-src-elem <source>;

来源

<source> 可以是 CSP 来源值 中列出的任何一个值。

请注意,这套值可用于所有 获取指令(以及 其他一些指令)。

示例

违规情况

给定此 CSP 标头

http
Content-Security-Policy: style-src-elem https://example.com/

…以下样式表将被阻止,无法加载

html
<link href="https://not-example.com/styles/main.css" rel="stylesheet" />

<style>
  #inline-style {
    background: red;
  }
</style>

<style>
  @import url("https://not-example.com/styles/print.css") print;
</style>

…以及使用 Link 标头加载的样式

http
Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet

规范

规范
内容安全策略级别 3
# directive-style-src-elem

浏览器兼容性

BCD 表仅在启用 JavaScript 的浏览器中加载。

另请参阅