CSP:object-src

HTTP Content-Security-Policyobject-src 指令指定 <object><embed> 元素的有效源。

注意:object-src 控制的元素被認為是傳統 HTML 元素,並且沒有收到新的標準化功能(例如 <iframe> 的安全屬性 sandboxallow)。因此,建議限制此 fetch 指令(例如,如果可能,顯式設定 object-src 'none')。

CSP 版本 1
指令型別 獲取指令
default-src 回退 是。如果此指令不存在,使用者代理將查詢 default-src 指令。

語法

可以為 object-src 策略允許一個或多個源

http
Content-Security-Policy: object-src <source>;
Content-Security-Policy: object-src <source> <source>;

來源

<source> 可以是 CSP 源值 中列出的任何一個值。

請注意,這組相同的值可以在所有 fetch 指令(以及 其他一些指令)中使用。

示例

違反案例

給定此 CSP 標頭

http
Content-Security-Policy: object-src https://example.com/

以下 <object><embed> 元素將被阻止,並且不會載入

html
<embed src="https://not-example.com/flash"></embed>
<object data="https://not-example.com/plugin"></object>

規範

規範
內容安全策略級別 3
# 指令-object-src

瀏覽器相容性

BCD 表僅在瀏覽器中載入

參見