CSP: require-sri-for
优质
小牛编辑
129浏览
2023-12-01
HTTP Content-Security-Policy require-sri-for指令指示客户端要求在页面上使用子资源完整性用于脚本或样式。
句法
Content-Security-Policy: require-sri-for script;Content-Security-Policy: require-sri-for style;Content-Security-Policy: require-sri-for script style;
script需要SRI的脚本。style需要SRI的样式表。对于脚本和样式表都script style需要SRI。
示例
如果您使用此指令将站点设置为需要SRI以获得脚本和样式:
Content-Security-Policy: require-sri-for script style
<script> 像下面这样的元素将被加载,因为它们使用有效的完整性属性。
<script src="https://code.jquery.com/jquery-3.1.1.slim.js"
integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA="
crossorigin="anonymous"></script>不推荐使用的HTTP Content-Security-Policy(CSP)report-uri指令指示用户代理报告违反内容安全策略的企图。这些违规报告由通过HTTP POST请求发送到指定URI的JSON文档组成。
尽管report-to指令旨在取代已弃用的report-uri指令,report-to但在大多数浏览器中仍不受支持。因此,对于当前浏览器的同时,还加入向前兼容的浏览器时获得的兼容性report-to支持,您可以同时指定report-uri和report-to:
Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname
在支持的浏览器中report-to,report-uri指令将被忽略。
该指令本身没有任何影响,但仅与其他指令结合起来才有意义。
CSP版本 | 1 |
|---|---|
指令类型 | 报告指令 |
| 该指令在<meta>元素中不受支持。|