目录

CSP: require-sri-for

优质
小牛编辑
127浏览
2023-12-01

HTTP Content-Security-Policy require-sri-for指令指示客户端要求在页面上使用子资源完整性用于脚本或样式。

句法

Content-Security-Policy: require-sri-for script;Content-Security-Policy: require-sri-for style;Content-Security-Policy: require-sri-for script style;

script需要SRI的脚本。style需要SRI的样式表。对于脚本和样式表都script style需要SRI。

示例

如果您使用此指令将站点设置为需要SRI以获得脚本和样式:

Content-Security-Policy: require-sri-for script style

<script> 像下面这样的元素将被加载,因为它们使用有效的完整性属性。

<script src="https://code.jquery.com/jquery-3.1.1.slim.js"
        integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA="
        crossorigin="anonymous"></script>

不推荐使用的HTTP Content-Security-Policy(CSP)report-uri指令指示用户代理报告违反内容安全策略的企图。这些违规报告由通过HTTP POST请求发送到指定URI的JSON文档组成。

尽管report-to指令旨在取代已弃用的report-uri指令,report-to但在大多数浏览器中仍不受支持。因此,对于当前浏览器的同时,还加入向前兼容的浏览器时获得的兼容性report-to支持,您可以同时指定report-urireport-to

Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname

在支持的浏览器中report-toreport-uri指令将被忽略。

该指令本身没有任何影响,但仅与其他指令结合起来才有意义。

CSP版本

1

指令类型

报告指令

| 该指令在<meta>元素中不受支持。|