CSP: font-src

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

HTTP Content-Security-Policy (CSP 内容安全策略) 中 font-src 指令定义了 @font-face 加载字体的有效源规则。

CSP 版本 1
指令类型 fetch 指令
default-src 回落 是。如果不存在该指令,用户代理将查找 default-src 指令。

语法

font-src 策略可以包含一个或多个源:

Content-Security-Policy: font-src <source>;
Content-Security-Policy: font-src <source> <source>;

源代码

<source> 可以是 CSP 源值列出来的任意一个。

注意,这套相同的值可以用于所有 fetch 指令(以及许多其他指令)。

示例

违规的案例

给定此 CSP 标头:

bash
Content-Security-Policy: font-src https://example.com/

以下的字体源将被阻止,不会加载到浏览器中:

html
<style>
  @font-face {
    font-family: "MyFont";
    src: url("https://not-example.com/font");
  }
  body {
    font-family: "MyFont";
  }
</style>

规范

Specification
Content Security Policy Level 3
# directive-font-src

浏览器兼容性

BCD tables only load in the browser

参见