1. 面向开发者的 Web 技术
  2. HTTP
  3. 参考
  4. HTTP 标头
  5. Content-Security-Policy (CSP)
  6. CSP: font-src

此页面由社区从英文翻译而来。了解更多并加入 MDN Web Docs 社区。

View in English Always switch to English

CSP: font-src

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since ⁨2016年8月⁩.

HTTP Content-Security-Policy (CSP 内容安全策略) 中 font-src 指令定义了 @font-face 加载字体的有效源规则。

CSP 版本 1
指令类型 fetch 指令
default-src 回落 是。如果不存在该指令,用户代理将查找 default-src 指令。

语法

font-src 策略可以包含一个或多个源:

Content-Security-Policy: font-src <source>;
Content-Security-Policy: font-src <source> <source>;

源代码

<source> 可以是 CSP 源值列出来的任意一个。

注意,这套相同的值可以用于所有 fetch 指令(以及许多其他指令)。

示例

违规的案例

给定此 CSP 标头:

bash
Content-Security-Policy: font-src https://example.com/

以下的字体源将被阻止,不会加载到浏览器中:

html
<style>
  @font-face {
    font-family: "MyFont";
    src: url("https://not-example.com/font");
  }
  body {
    font-family: "MyFont";
  }
</style>

规范

Specification
Content Security Policy Level 3
# directive-font-src

浏览器兼容性

参见

Help improve MDN

Learn how to contribute

This page was last modified on by MDN contributors.

View this page on GitHubReport a problem with this content