connect-src 是内容安全策略(CSP, Content Security Policy)里的一个指令,用来限制网页可以通过“连接类请求”访问哪些来源(source)。它主要影响如 fetch/XHR、WebSocket、EventSource、Beacon(sendBeacon)、以及部分其他发起网络连接的 API。
(注:不同浏览器与规范版本对覆盖范围可能略有差异;CSP 还有很多其他指令分别控制脚本、图片等资源。)
/kəˈnɛkt sɔːrs/
The site uses connect-src to allow API calls only to its own domain.
该网站使用 connect-src 只允许向自身域名发起 API 调用。
To reduce data leakage, the team set Content-Security-Policy: connect-src 'self' https://api.example.com; so that XHR and WebSocket connections cannot be opened to unexpected third-party endpoints.
为降低数据泄露风险,团队设置了 Content-Security-Policy: connect-src 'self' https://api.example.com;,从而阻止 XHR 和 WebSocket 连接被打开到意料之外的第三方端点。
该写法来自 CSP 指令命名规则:用动词/功能描述 + -src(source,“来源”)来表示“某类资源/行为允许的来源列表”。其中 connect 表示“建立连接/发起网络请求”,src 是 source 的缩写,在 CSP 语境中表示“允许的来源”。
connect-src 的定义与示例)connect-src 的配置思路)
Select Language