CSP: img-src
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Die HTTP Content-Security-Policy img-src Direktive gibt gültige Quellen für Bilder und Favicons an.
| CSP-Version | 1 |
|---|---|
| Direktivtyp | Fetch-Direktive |
default-src Fallback |
Ja. Wenn diese Direktive fehlt, sucht der Benutzeragent nach der
default-src Direktive.
|
Syntax
Content-Security-Policy: img-src 'none';
Content-Security-Policy: img-src <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'-
Es dürfen keine Ressourcen dieses Typs geladen werden. Die einfachen Anführungszeichen sind verpflichtend.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von source expression Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quellausdrücke anwendbar:
Beispiele
Verstöße
Angenommen, dieser CSP-Header:
Content-Security-Policy: img-src https://example.com/
Das folgende <img> wird blockiert und nicht geladen:
<img src="https://not-example.com/foo.jpg" alt="example picture" />
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-img-src |
Browser-Kompatibilität
BCD tables only load in the browser