View in English Always switch to English

CSP:default-src

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since ⁨2016年8月⁩.

HTTP Content-Security-Policy(CSP)的 default-src 指令可以为其他 CSP fetch 指令提供回退。对于以下列出的指令,假如不存在的话,那么用户代理会查找并应用 default-src 指令的值:

CSP 版本	1
指令类型	fetch 指令

语法

default-src 策略允许指定一个或多个源:

http

Content-Security-Policy: default-src <source>;
Content-Security-Policy: default-src <source> <source>;

源

<source> 可以是 CSP 源值中列出的任何值。

注意,这些值可以在所有的 fetch 指令(以及其他指令)中使用。

示例

不继承 default-src 的情况

假如设定了其他指令,那么 default-src 不会对它们起作用。这个标头:

http

Content-Security-Policy: default-src 'self'; script-src https://example.com

与下面的等价:

http

Content-Security-Policy: connect-src 'self';
 font-src 'self';
 frame-src 'self';
 img-src 'self';
 manifest-src 'self';
 media-src 'self';
 object-src 'self';
 script-src https://example.com;
 style-src 'self';
 worker-src 'self'

规范

Specification
Content Security Policy Level 3 # directive-default-src

浏览器兼容性

参见

Help improve MDN

Learn how to contribute

This page was last modified on ⁨2025年7月4日⁩ by MDN contributors.

View this page on GitHub • Report a problem with this content