CSP: font-src
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
HTTP Content-Security-Policy
(CSP 内容安全策略) 中 font-src
指令定义了 @font-face
加载字体的有效源规则。
CSP 版本 | 1 |
---|---|
指令类型 | fetch 指令 |
default-src 回落 |
是。如果不存在该指令,用户代理将查找 default-src 指令。
|
语法
font-src
策略可以包含一个或多个源:
Content-Security-Policy: font-src <source>; Content-Security-Policy: font-src <source> <source>;
源代码
示例
违规的案例
给定此 CSP 标头:
bash
Content-Security-Policy: font-src https://example.com/
以下的字体源将被阻止,不会加载到浏览器中:
html
<style>
@font-face {
font-family: "MyFont";
src: url("https://not-example.com/font");
}
body {
font-family: "MyFont";
}
</style>
规范
Specification |
---|
Content Security Policy Level 3 # directive-font-src |
浏览器兼容性
BCD tables only load in the browser
参见
Content-Security-Policy
(内容安全策略)@font-face