©
本文档使用 PHP中文网手册 发布
HTTP Content-Security-Policy
require-sri-for
指令指示客户端要求在页面上使用子资源完整性用于脚本或样式。
Content-Security-Policy: require-sri-for script;Content-Security-Policy: require-sri-for style;Content-Security-Policy: require-sri-for script style;
script
需要SRI的脚本。style
需要SRI的样式表。对于脚本和样式表都script style
需要SRI。
如果您使用此指令将站点设置为需要SRI以获得脚本和样式:
Content-Security-Policy: require-sri-for script style
<script>
像下面这样的元素将被加载,因为它们使用有效的完整性属性。
<script src="https://code.jquery.com/jquery-3.1.1.slim.js" integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA=" crossorigin="anonymous"></script>
不推荐使用的HTTP Content-Security-Policy
(CSP)report-uri
指令指示用户代理报告违反内容安全策略的企图。这些违规报告由通过HTTP POST请求发送到指定URI的JSON文档组成。
尽管report-to
指令旨在取代已弃用的report-uri
指令,report-to
但在大多数浏览器中仍不受支持。因此,对于当前浏览器的同时,还加入向前兼容的浏览器时获得的兼容性report-to
支持,您可以同时指定report-uri
和report-to
:
Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname
在支持的浏览器中report-to
,report-uri
指令将被忽略。
该指令本身没有任何影响,但仅与其他指令结合起来才有意义。
CSP版本 | 1 |
---|---|
指令类型 | 报告指令 |
| 该指令在<meta>元素中不受支持。|