Content-Security-Policy: object-src 指令

Baseline 已广泛支持

此功能已相当成熟，可在多种设备和浏览器版本上运行。自 ⁨2016 年 8 月⁩ 起，所有浏览器均已提供此功能。

HTTP Content-Security-Policy 的 object-src 指令指定了 <object> 和 <embed> 元素的有效源。

注意：由 object-src 控制的元素可能巧合地被认为是旧版 HTML 元素，并且没有获得新的标准化功能（例如 <iframe> 的安全属性 sandbox 或 allow）。因此，建议限制此获取指令（例如，如果可能，明确设置 object-src 'none'）。

CSP 版本	1
指令类型	获取指令
`default-src` 回退	是的。如果此指令缺失，用户代理将查找 `default-src` 指令。

语法

http

Content-Security-Policy: object-src 'none';
Content-Security-Policy: object-src <source-expression-list>;

此指令可以具有以下值之一

不允许加载此类型的任何资源。单引号是强制性的。

一个由源表达式值组成的空格分隔列表。如果资源类型与任何给定的源表达式匹配，则可以加载此类资源。对于此指令，以下源表达式值适用：

给定此 CSP 头

http

Content-Security-Policy: object-src https://example.com/

以下 <object> 和 <embed> 元素将被阻止且无法加载

html

<embed src="https://not-example.com/flash" />
<object data="https://not-example.com/plugin"></object>

规范
内容安全策略级别 3 # directive-object-src

本页面最后由 MDN 贡献者于 2025 年 7 月 4 日修改。