内容安全策略：font-src 指令

Baseline 已广泛支持

此功能已相当成熟，可在多种设备和浏览器版本上运行。自 ⁨2016 年 8 月⁩ 起，所有浏览器均已提供此功能。

HTTP Content-Security-Policy (CSP) font-src 指令指定了使用 @font-face 加载的字体的有效来源。

CSP 版本	1
指令类型	获取指令
`default-src` 回退	是的。如果此指令缺失，用户代理将查找 `default-src` 指令。

语法

http

Content-Security-Policy: font-src 'none';
Content-Security-Policy: font-src <source-expression-list>;

此指令可以具有以下值之一

不允许加载此类型的任何资源。单引号是强制性的。

一个由源表达式值组成的空格分隔列表。如果资源类型与任何给定的源表达式匹配，则可以加载此类资源。对于此指令，以下源表达式值适用：

给定此 CSP 头

http

Content-Security-Policy: font-src https://example.com/

以下字体资源加载被阻止且不会加载

html

<style>
  @font-face {
    font-family: "MyFont";
    src: url("https://not-example.com/font");
  }
  body {
    font-family: "MyFont";
  }
</style>

规范
内容安全策略级别 3 # directive-font-src

此页面最后由 MDN 贡献者在 2025年7月4日修改。