<meta http-equiv="Content-Security-Policy" content="script-src 'self'"> 參數說明:
| 指令 | 取值示例 | 說明 |
|---|---|---|
| default-src | 'self' cdn.example.com | 定義針對所有類型(js/image/css/web font/ajax/iframe/多媒體等)資源的預設加載政策,某類型資源如果沒有單獨定義政策,就使用預設。 |
| script-src | 'self' js.example.com *.54php.cn *://*.54php.cn https://*.54php.cn | 定義針對JavaScript的加載政策 |
| object-src | 'self' | 針對,, 等标簽的加載政策 |
| style-src | 'self' css.example.com | 定義針對樣式的加載政策 |
| img-src | 'self' image.example.com | 定義針對圖檔的加載政策 |
| media-src | 'media.example.com' | 針對或者引入的html多媒體等标簽的加載政策 |
| frame-src | 針對iframe的加載政策 | |
| connect-src | 針對Ajax、WebSocket等請求的加載政策。不允許的情況下,浏覽器會模拟一個狀态為400的響應 | |
| font-src | font.qq.com | 針對Web Font的加載政策 |
| sandbox | allow-forms allow-scripts | 對請求的資源啟用sandbox |
| report-uri | /some-report-uri | 告訴浏覽器如果請求的資源不被政策允許時,往哪個位址送出日志資訊。不阻止任何内容,可以改用Content-Security-Policy-Report-Only頭 |
| base-uri | 限制目前頁面的url(CSP2) | |
| child-src | 限制子視窗的源(iframe、彈窗等),取代frame-src(CSP2) | |
| form-action | 限制表單能夠送出到的源(CSP2) | |
| frame-ancestors | 'none' | 限制了目前頁面可以被哪些頁面以iframe,frame,object等方式加載(CSP2) |
| plugin-types | application/pdf | 限制插件的類型(CSP2) |