Content-Security-Policy: media-src 指令
HTTP Content-Security-Policy (CSP) 的 media-src 指令指定了使用 <audio> 和 <video> 元素加载媒体的有效来源。
| CSP 版本 | 1 |
|---|---|
| 指令类型 | 获取指令 |
default-src 回退 |
是的。如果此指令缺失,用户代理将查找 default-src 指令。 |
语法
http
Content-Security-Policy: media-src 'none';
Content-Security-Policy: media-src <source-expression-list>;
此指令可以具有以下值之一
'none'-
不允许加载此类型的任何资源。单引号是强制性的。
<source-expression-list>-
一个由源表达式值组成的空格分隔列表。如果资源类型与任何给定的源表达式匹配,则可以加载此类资源。对于此指令,以下源表达式值适用:
示例
违规情况
给定此 CSP 头
http
Content-Security-Policy: media-src https://example.com/
以下 <audio>、<video> 和 <track> 元素被阻止,不会加载
html
<audio src="https://not-example.com/audio"></audio>
<video src="https://not-example.com/video">
<track kind="subtitles" src="https://not-example.com/subtitles" />
</video>
规范
| 规范 |
|---|
| 内容安全策略级别 3 # 指令-media-src |
浏览器兼容性
加载中…