內容安全策略：font-src 指令

Baseline 已廣泛支援

此功能已相當成熟，可在多種裝置和瀏覽器版本上執行。自 ⁨2016 年 8 月⁩ 起，所有瀏覽器均已提供此功能。

HTTP Content-Security-Policy (CSP) font-src 指令指定了使用 @font-face 載入的字型的有效來源。

CSP 版本	1
指令型別	獲取指令
`default-src` 回退	是的。如果此指令缺失，使用者代理將查詢 `default-src` 指令。

語法

http

Content-Security-Policy: font-src 'none';
Content-Security-Policy: font-src <source-expression-list>;

此指令可以具有以下值之一

不允許載入此型別的任何資源。單引號是強制性的。

一個由源表示式值組成的空格分隔列表。如果資源型別與任何給定的源表示式匹配，則可以載入此類資源。對於此指令，以下源表示式值適用：

給定此 CSP 頭

http

Content-Security-Policy: font-src https://example.com/

以下字型資源載入被阻止且不會載入

html

<style>
  @font-face {
    font-family: "MyFont";
    src: url("https://not-example.com/font");
  }
  body {
    font-family: "MyFont";
  }
</style>

規範
內容安全策略級別 3 # directive-font-src

此頁面最後由 MDN 貢獻者在 2025年7月4日修改。