style-src 是网页安全策略 Content Security Policy(CSP) 中的一条指令,用来规定页面允许从哪些来源加载和执行 CSS 样式(例如外部样式表、<style> 内联样式、以及某些与样式相关的资源)。它常用于减少 XSS(跨站脚本) 等攻击风险。(该指令还有一些细分与搭配用法;这里介绍最常见的核心含义。)
/ˈstaɪl sɔːrs/
The site uses style-src 'self' to allow only its own CSS files.
网站使用 style-src 'self' 来只允许加载本站的 CSS 文件。
In a strict CSP, you might combine style-src with nonces or hashes to permit specific inline styles while blocking everything else.
在严格的 CSP 中,你可能会把 style-src 与 nonce 或 hash 结合使用,只放行特定的内联样式,同时阻止其他所有样式来源。
style-src 来自 CSP 指令的命名方式:style 表示“样式(CSS)”,src 是 source(来源) 的缩写;合起来就是“样式的允许来源”。这种“X-src”的形式在 CSP 中很常见(如 script-src、img-src)。
style-src)style-src 的用法示例与说明)style-src 在内的 CSP 配置实践)
Select Language