1. Web
  2. HTTP
  3. 參考
  4. 標頭
  5. Content-Security-Policy
  6. img-src

Content-Security-Policy: img-src 指令

Baseline 已廣泛支援

此功能已相當成熟,可在多種裝置和瀏覽器版本上執行。自 ⁨2016 年 8 月⁩ 起,所有瀏覽器均已提供此功能。

HTTP Content-Security-Policyimg-src 指令指定了影像和網站圖示的有效來源。

CSP 版本 1
指令型別 獲取指令
default-src 回退 是的。如果此指令缺失,使用者代理將查詢 default-src 指令。

語法

http
Content-Security-Policy: img-src 'none';
Content-Security-Policy: img-src <source-expression-list>;

此指令可以具有以下值之一

'none'

不允許載入此型別的任何資源。單引號是強制性的。

<source-expression-list>

一個由源表示式值組成的空格分隔列表。如果資源型別與任何給定的源表示式匹配,則可以載入此類資源。對於此指令,以下源表示式值適用:

示例

違規情況

給定此 CSP 頭

http
Content-Security-Policy: img-src https://example.com/

以下 <img> 被阻止且無法載入

html
<img src="https://not-example.com/foo.jpg" alt="example picture" />

規範

規範
內容安全策略級別 3
# directive-img-src

瀏覽器相容性

另見

幫助改進 MDN

瞭解如何貢獻

此頁面最後由MDN 貢獻者修改。

在 GitHub 上檢視此頁面報告此內容的問題
© . Content available under a Creative Commons license.