标头
|
默认设置
|
注解
|
||
---|---|---|---|---|
default-src
|
‘self’
|
用于指定可在页面上加载或获取的回退资源的默认值,例如 script-src、style-src 等。
|
||
connect-src
|
‘self’
|
保护可获取 HTTP 请求的若干浏览器机制。其中包括 XMLHttpRequest (XHR/AJAX)、WebSocket、fetch()、<a ping> 或 EventSource。
|
||
font-src
|
‘self’
|
使用 @font-face 保护字体加载。
|
||
frame-ancestors
|
‘self’
|
用于指定哪些父项 URL 可以构建当前资源框架。使用 frame-ancestors 指令可允许或阻止将页面放置在 frame 或 iframe 中。
如果在 web.xml 中配置了单击劫持筛选,且发生了向 CSP 的迁移,则 frame-ancestor 将设置为 'self',并在单击劫持筛选器中定义允许列表。
|
||
frame-src
|
‘self’ tw-ra-client:
|
控制框架加载。例如,在 HTML 文档中使用 <iframe> HTML 标记。
|
||
img-src
|
‘self’
|
保护图像加载。例如,使用 <img> HTML 标记。
|
||
media-src
|
‘self’
|
保护音频和视频加载。例如,HTML5 <audio> 和 <video> 元素。
|
||
object-src
|
‘self’
|
为 <object> 和 <embed> 元素指定有效源。其中包括浏览器插件功能,例如 Flash、Java 和 ActiveX 控件等。
|
||
script-src
|
‘self’ ‘unsafe-eval’ ‘unsafe-inline’
|
保护 JavaScript 的加载和执行。
|
||
style-src
|
‘self’ 'unsafe-inline’
|
保护 CSS 样式和样式表的加载和执行。
|
||
worker-src
|
‘self’
|
|
此注解适用于 object-src。
通常情况下,在修改 CSP 指令时,会对默认设置和新设置予以组合,以便注入到 CSP 标头中的值包括默认设置和新设置。例如,frame-ancestors 的默认设置为 'self'。如果将 frame-ancestors 配置更新为包括 https://*.somedomain.com,则最终的标头值为 'self' ‘https://*.somedomain.com’。
将 object-src 设置为 'none' 时的行为会有所不同。相反,当使用管理员的更新来增大默认设置时,更新会替换默认值。例如,object-src 的默认设置为 'self'。如果将 object-src 更新为 https://*.somedomain.com,则发送到 CSP 的指令将仅为 https://*.somedomain.com。如果要包括 'self',则必须将 object-src 明确配置为 ‘https://*.somedomain.com' 'self’。如果 object-src 配置包含 'none',则它将覆盖所有其他设置。因此,'self' 'none' 实际上为 'none'。
|