標題
|
預設設定
|
註記
|
||
---|---|---|---|---|
default-src
|
'self'
|
可讓您指定可在頁面上載入或擷取之後援資源預設值,例如 script-src、style-src 等。
|
||
connect-src
|
'self'
|
保護幾種可擷取 HTTP 請求的瀏覽器機制。其中包括 XMLHttpRequest (XHR/AJAX)、WebSocket、fetch()、<a ping> 或 EventSource。
|
||
font-src
|
'self'
|
使用 @font-face 保護字型載入。
|
||
frame-ancestors
|
'self'
|
可讓您指定哪些父 URL 可構成當前資源的框架。您可使用 frame-ancestors CSP 指令允許或封鎖將頁面放置在框架或 iframe 中。
如果已在 web.xml 中配置「點擊劫持篩選」,且發生了移轉至 CSP 的情形,則 frame-ancestor 會設定為 'self',並會在「點擊劫持篩選器」中定義允許清單。
|
||
frame-src
|
'self' tw-ra-client:
|
控制框架的載入。例如,在 HTML 文件中使用 <iframe> HTML 標籤。
|
||
img-src
|
'self'
|
保護圖像載入。例如,使用 <img> HTML 標籤。
|
||
media-src
|
'self'
|
保護音訊和視訊載入。例如,HTML5 <audio> 與 <video> 元素。
|
||
object-src
|
'self'
|
為 <object> 和 <embed> 元素指定有效來源。其中包括瀏覽器外掛程式功能,例如 Flash、Java 與 ActiveX 控制項。
|
||
script-src
|
'self' 'unsafe-eval' 'unsafe-inline'
|
保護 JavaScript 的載入與執行。
|
||
style-src
|
'self' 'unsafe-inline'
|
保護 CSS 樣式與樣式表的載入與執行。
|
||
worker-src
|
'self'
|
![]() |
此註記與 object-src 相關。
通常,當修改 CSP 指令時,預設設定與新設定會合併在一起,因此插入到 CSP 標題中的值包括預設值加上新設定。例如,frame-ancestors 預設為 'self'。如果您更新 frame-ancestors 組態以包括 https://*.somedomain.com,則最終標題值為 'self' ‘https://*.somedomain.com’。
將 object-src 設定為 'none' 時,它的行為方式會有所不同。而是,當以管理員的更新增加預設設定時,更新會取代預設值。例如,object-src 的預設設定為 'self'。如果您將 object-src 更新為 https://*.somedomain.com,傳送至 CSP 的指令將只會是 https://*.somedomain.com。如果您要包括 'self',必須將 object-src 明確配置為 ‘https://*.somedomain.com' 'self’。如果您的 object-src 組態包括 'none',它將會取代其他任何設定。因此,'self' 'none' 是有效的 'none'。
|