HTTPContent-Security-Policy(CSP)style-src指令为样式表的源指定有效来源。 CSP版本 1 指令类型 取指令 默认-src后备 是。如果此指令不存在,用户代理将查找default-src指令。 句法 style-src政策可以允许一个或多个来源: 代码语言:javascript 复制 Content-Security-Policy:style-src<source>;Content-Security-Policy...
Content-Security-Policy: style-src 'nonce-2726c7f26c' 您将不得不在 <style nonce="2726c7f26c">#inline-style { background: red; }</style> 或者,您可以从内联样式创建散列。CSP支持sha256,sha384和sha512。 Content-Security-Policy: style-src 'sha256-a330698cbe9dc4ef1fb12e2ee9fc06d5d14300262f...
default-src 指令:default-src指令定义了获取诸如JavaScript、图片、CSS、字体、AJAX请求、框架、HTML5媒体等资源的默认策略。并不是所有的指令都回退到default-src。 script-src指令:定义有效的JavaScript源。 style-src指令:定义样式表或CSS的有效源。 img-src指令:定义有效的图像源。 connect-src指令:适用于XMLHttpR...
style-src : 定义针对样式的加载策略。 img-src : 定义针对图片的加载策略。 font-src : 定义针对字体的加载策略。 media-src : 定义针对多媒体的加载策略,例如:音频标签<audio>和视频标签<video>。 object-src : 定义针对插件的加载策略,例如:<object>、<embed>、<applet>。 child-src :定义针对框架的加载...
style-src:限制层叠样式表文件源。 worker-src:限制Worker、SharedWorker或者ServiceWorker脚本源。 更多指令,见MDN 指令可接受的值 指令后面跟的来源,有两种写法: 预设值 URI通配符 2.2.1 预设值 none 不匹配任何东西。 self 匹配当前域,但不包括子域。比如 http://example.com 可以,http://api.example.com 则...
script-src:外部脚本 style-src:样式表 img-src:图像 media-src:媒体文件(音频和视频) font-src:字体文件 object-src:插件(比如 Flash) child-src:框架 frame-ancestors:嵌入的外部资源(比如<frame>、<iframe>、<embed>和<applet>) connect-src:HTTP 连接(通过 XHR、WebSockets、EventSource等) ...
defaultSrc:默认情况下,只允许从当前域加载资源。 scriptSrc:允许从当前域和https://trusted-cdn.com加载脚本。 styleSrc:允许从当前域和https://trusted-cdn.com加载样式表。 imgSrc:允许从当前域、data:URI 和https://trusted-cdn.com加载图片。 fontSrc:允许从当前域和https://trusted-cdn.com加载字体。
style-src定义了页面中CSS样式的有效来源 img-src img-src定义了页面中图片和图标的有效来源 font-src font-src定义了字体加载的有效来源 connect-src connect-src定义了请求、XMLHttpRequest、WebSocket 和 EventSource 的连接来源。 child-src child-src 指定定义了 web workers 以及嵌套的浏览上下文(如<frame>和<...
style-src 限制样式文件的来源。 upgrade-insecure-requests 指导客户端将页面地址重写,HTTP 转 HTTPS。用于站点中有大量旧地址需要重定向的情形。 worker-src CSP Level 3 中的指令,规定可用于 worker, shared worker, 或 service worker 中的地址。 预设值 ...
Expected behavior react-beautiful-dnd should not depend on the the Content-Security-Policy: style-src 'unsafe-inline' directive. Actual behavior react-beautiful-dnd adds errors to the console as the CSS is refused by the CSP rules. Error...