1. Web
  2. HTTP
  3. 参考
  4. 标头
  5. Content-Security-Policy
  6. manifest-src

Content-Security-Policy: manifest-src 指令

Baseline 已广泛支持

此特性已相当成熟,可在许多设备和浏览器版本上使用。自 ⁨2020 年 1 月⁩ 起,所有主流浏览器均已支持。

HTTP Content-Security-Policymanifest-src 指令指定了哪些清单可以应用于资源。

CSP 版本 3
指令类型 获取指令
default-src 回退 是的。如果此指令缺失,用户代理将查找 default-src 指令。

语法

http
Content-Security-Policy: manifest-src 'none';
Content-Security-Policy: manifest-src <source-expression-list>;

此指令可以具有以下值之一

'none'

不允许加载此类型的任何资源。单引号是强制性的。

<source-expression-list>

一个由源表达式值组成的空格分隔列表。如果资源类型与任何给定的源表达式匹配,则可以加载此类资源。对于此指令,以下源表达式值适用:

示例

违规情况

给定此 CSP 头

http
Content-Security-Policy: manifest-src https://example.com/

以下<link>被阻止,无法加载

html
<link rel="manifest" href="https://not-example.com/manifest" />

规范

规范
内容安全策略级别 3
# directive-manifest-src

浏览器兼容性

另见

帮助改进 MDN

了解如何贡献

此页面最后由MDN 贡献者修改。

在 GitHub 上查看此页面报告此内容的问题