default-src:在 Content Security Policy(CSP,内容安全策略) 中的指令,用来为多种资源类型(如脚本、样式、图片、字体等)设置默认的加载来源规则;当未单独指定 script-src、img-src 等更具体指令时,就会回退使用 default-src。(它也常被写作 default-src 'self' 等配置形式。)
/dɪˈfɔːlt ˌɛs ɑːr ˈsiː/
Our site uses default-src to limit where resources can be loaded from.
我们的网站使用 default-src 来限制资源可以从哪些来源加载。
If you set default-src 'none' and then allow only script-src 'self' https://cdn.example.com, the browser will block other resource types unless you explicitly permit them.
如果你设置了 default-src 'none',再只允许 script-src 'self' https://cdn.example.com,那么浏览器会阻止其他类型的资源加载,除非你对它们做了明确放行。
该术语来自 Web 安全标准 CSP:default 表示“默认”,src 是 source(来源) 的常见缩写,合起来表示“默认的资源来源规则”。它作为指令名使用,通常出现在 HTTP 响应头 Content-Security-Policy 中。
default-src 指令文档
Select Language