CSP:style-src-elem

HTTP Content-Security-Policy (CSP) 的 style-src-elem 指令指定了樣式表 <style> 元素和具有 rel="stylesheet" 屬性的 <link> 元素的有效來源。

該指令不會設定內聯樣式屬性的有效來源;這些屬性使用 style-src-attr 設定(所有樣式的有效來源可以使用 style-src 設定)。

CSP 版本 3
指令型別 獲取指令
default-src 回退

是。如果該指令缺失,使用者代理將查詢 style-src 指令,如果兩者都缺失,則回退到 default-src 指令。

語法

style-src-elem 策略允許一個或多個來源

http
Content-Security-Policy: style-src-elem <source>;
Content-Security-Policy: style-src-elem <source> <source>;

style-src-elem 可以與 style-src 結合使用

http
Content-Security-Policy: style-src <source>;
Content-Security-Policy: style-src-elem <source>;

來源

<source> 可以是 CSP 來源值 中列出的任何一個值。

請注意,這套值可用於所有 獲取指令(以及 其他一些指令)。

示例

違規情況

給定此 CSP 標頭

http
Content-Security-Policy: style-src-elem https://example.com/

…以下樣式表將被阻止,無法載入

html
<link href="https://not-example.com/styles/main.css" rel="stylesheet" />

<style>
  #inline-style {
    background: red;
  }
</style>

<style>
  @import url("https://not-example.com/styles/print.css") print;
</style>

…以及使用 Link 標頭載入的樣式

http
Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet

規範

規範
內容安全策略級別 3
# directive-style-src-elem

瀏覽器相容性

BCD 表僅在啟用 JavaScript 的瀏覽器中載入。

另請參閱