CONTENT SECURITY POLICY
Content-Security-Policy: policy-directive; policy-directive
获取指令
提取指令控制可以加载某些资源类型的位置。
- child-src定义Web Workers和使用诸如frame,iframe等元素加载嵌套在浏览器上下文的有效来源;
- connect-src限制可以使用脚本接口加载的URL
- default-src用作其他提取指令的后备。
- font-src指定使用@font-face加载的字体的有效来源。
- frame-src为使用元素(例如frame和iframe)加载的嵌套浏览上下文指定有效来源。
- img-src指定图像和网站图标的有效来源。
- manifest-src指定应用程序清单文件的有效来源。
- media-src指定使用加载媒体来源有效audio,video和track元素。
- object-src指定有效的来源object,embed和applet元素。
- script-src指定JavaScript的有效来源。
- style-src指定样式表的有效来源。
- worker-src指定有效来源Worker,SharedWorker或ServiceWorker脚本。
文件指令
Document指令控制文档或worker可以使用的一系列环境属性。
- base-uri限制可以在文档base元素中使用的URL 。
- plugin-types通过限制可以加载的资源类型来限制可以嵌入到文档中的一组插件。
- sandbox为请求的资源启用沙箱,类似于iframesandbox属性。
- disown-opener确保资源在导航时不会泄露其开启者。
导航指令
导航指令控制用户可以导航到哪个位置或将表单提交到哪个位置。
- form-action限制可以用作来自给定上下文的表单提交的目标的URL。
- frame-ancestors指定有效的父级可以使用嵌入网页frame,iframe,object,embed,或applet。
- navigation-to限制文档可以通过任何方式(a, form, window.location, window.open,等)导航到的URL。
报告指令
报告指令控制着违反CSP的报告流程。另见Content-Security-Policy-Report-Only标题。
- report-uri指示用户代理报告违反内容安全策略的企图。这些违规报告由通过HTTP 请求发送到指定URI 的JSON文档组成POST。
- report-to Fires SecurityPolicyViolationEvent。
其他指令
- block-all-mixed-content当使用HTTPS加载页面时,防止使用HTTP加载任何资产。
- referrer用于在引用者(sic)头中指定远离页面的链接的信息。
- Referrer-Policy改为使用标题。
- require-sri-for需要在页面上使用SRI作为脚本或样式。
- upgrade-insecure-requests指示用户代理将所有站点的不安全URL(通过HTTP提供的URL)视为已被替换为安全URL(通过HTTPS提供的URL)。 此指令适用于需要重写大量不安全的旧版URL的网站。