1. Web
  2. HTTP
  3. 参考
  4. 标头
  5. Content-Security-Policy
  6. img-src

Content-Security-Policy: img-src 指令

Baseline 已广泛支持

此功能已相当成熟,可在多种设备和浏览器版本上运行。自 ⁨2016 年 8 月⁩ 起,所有浏览器均已提供此功能。

HTTP Content-Security-Policyimg-src 指令指定了图像和网站图标的有效来源。

CSP 版本 1
指令类型 获取指令
default-src 回退 是的。如果此指令缺失,用户代理将查找 default-src 指令。

语法

http
Content-Security-Policy: img-src 'none';
Content-Security-Policy: img-src <source-expression-list>;

此指令可以具有以下值之一

'none'

不允许加载此类型的任何资源。单引号是强制性的。

<source-expression-list>

一个由源表达式值组成的空格分隔列表。如果资源类型与任何给定的源表达式匹配,则可以加载此类资源。对于此指令,以下源表达式值适用:

示例

违规情况

给定此 CSP 头

http
Content-Security-Policy: img-src https://example.com/

以下 <img> 被阻止且无法加载

html
<img src="https://not-example.com/foo.jpg" alt="example picture" />

规范

规范
内容安全策略级别 3
# directive-img-src

浏览器兼容性

另见

帮助改进 MDN

了解如何贡献

此页面最后由MDN 贡献者修改。

在 GitHub 上查看此页面报告此内容的问题