CSP:connect-src

HTTP Content-Security-Policy (CSP) 的 connect-src 指令限制了可以使用指令碼介面載入的 URL。受限的 API 包括

注意:並非所有瀏覽器中 connect-src 'self' 都會解析為 websocket 方案,更多資訊請參見此 問題

CSP 版本 1
指令型別 獲取指令
default-src 回退 是。如果此指令不存在,則使用者代理將查詢 default-src 指令。

語法

可以為 connect-src 策略允許一個或多個來源

http
Content-Security-Policy: connect-src <source>;
Content-Security-Policy: connect-src <source> <source>;

來源

<source> 可以是 CSP 來源值 中列出的任何一個值。

請注意,這套相同的值可用於所有 獲取指令(以及 其他一些指令)。

示例

違規情況

給定此 CSP 標頭

http
Content-Security-Policy: connect-src https://example.com/

以下連線將被阻止且無法載入

html
<a ping="https://not-example.com">
  <script>
    const response = fetch("https://not-example.com/");

    const xhr = new XMLHttpRequest();
    xhr.open("GET", "https://not-example.com/");
    xhr.send();

    const ws = new WebSocket("wss://not-example.com/");

    const es = new EventSource("https://not-example.com/");

    navigator.sendBeacon("https://not-example.com/", {
      /* … */
    });
  </script></a
>

規範

規範
內容安全策略級別 3
# directive-connect-src

瀏覽器相容性

BCD 表格僅在瀏覽器中載入

另請參閱