CSP:style-src-elem
HTTP Content-Security-Policy
(CSP) 的 style-src-elem
指令指定了样式表 <style>
元素和具有 rel="stylesheet"
属性的 <link>
元素的有效来源。
该指令不会设置内联样式属性的有效来源;这些属性使用 style-src-attr
设置(所有样式的有效来源可以使用 style-src
设置)。
CSP 版本 | 3 |
---|---|
指令类型 | 获取指令 |
default-src 回退 |
是。如果该指令缺失,用户代理将查找 |
语法
style-src-elem
策略允许一个或多个来源
http
Content-Security-Policy: style-src-elem <source>;
Content-Security-Policy: style-src-elem <source> <source>;
style-src-elem
可以与 style-src
结合使用
http
Content-Security-Policy: style-src <source>;
Content-Security-Policy: style-src-elem <source>;
来源
示例
违规情况
给定此 CSP 标头
http
Content-Security-Policy: style-src-elem https://example.com/
…以下样式表将被阻止,无法加载
html
<link href="https://not-example.com/styles/main.css" rel="stylesheet" />
<style>
#inline-style {
background: red;
}
</style>
<style>
@import url("https://not-example.com/styles/print.css") print;
</style>
…以及使用 Link
标头加载的样式
http
Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet
规范
规范 |
---|
内容安全策略级别 3 # directive-style-src-elem |
浏览器兼容性
BCD 表仅在启用 JavaScript 的浏览器中加载。