Content-Security-Policy: object-src 指令

Baseline 已廣泛支援

此功能已相當成熟，可在多種裝置和瀏覽器版本上執行。自 ⁨2016 年 8 月⁩ 起，所有瀏覽器均已提供此功能。

HTTP Content-Security-Policy 的 object-src 指令指定了 <object> 和 <embed> 元素的有效源。

注意：由 object-src 控制的元素可能巧合地被認為是舊版 HTML 元素，並且沒有獲得新的標準化功能（例如 <iframe> 的安全屬性 sandbox 或 allow）。因此，建議限制此獲取指令（例如，如果可能，明確設定 object-src 'none'）。

CSP 版本	1
指令型別	獲取指令
`default-src` 回退	是的。如果此指令缺失，使用者代理將查詢 `default-src` 指令。

語法

http

Content-Security-Policy: object-src 'none';
Content-Security-Policy: object-src <source-expression-list>;

此指令可以具有以下值之一

不允許載入此型別的任何資源。單引號是強制性的。

一個由源表示式值組成的空格分隔列表。如果資源型別與任何給定的源表示式匹配，則可以載入此類資源。對於此指令，以下源表示式值適用：

給定此 CSP 頭

http

Content-Security-Policy: object-src https://example.com/

以下 <object> 和 <embed> 元素將被阻止且無法載入

html

<embed src="https://not-example.com/flash" />
<object data="https://not-example.com/plugin"></object>

規範
內容安全策略級別 3 # directive-object-src

本頁面最後由 MDN 貢獻者於 2025 年 7 月 4 日修改。