CSP：default-src

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since ⁨2016年8月⁩.

HTTP Content-Security-Policy（CSP）的 default-src 指令可以为其他 CSP fetch 指令提供回退。对于以下列出的指令，假如不存在的话，那么用户代理会查找并应用 default-src 指令的值：

CSP 版本	1
指令类型	fetch 指令

语法

default-src 策略允许指定一个或多个源：

http

Content-Security-Policy: default-src <source>;
Content-Security-Policy: default-src <source> <source>;

源

<source> 可以是 CSP 源值中列出的任何值。

注意，这些值可以在所有的 fetch 指令（以及其他指令）中使用。

示例

不继承 default-src 的情况

假如设定了其他指令，那么 default-src 不会对它们起作用。这个标头：

http

Content-Security-Policy: default-src 'self'; script-src https://example.com

与下面的等价：

http

Content-Security-Policy: connect-src 'self';
                         font-src 'self';
                         frame-src 'self';
                         img-src 'self';
                         manifest-src 'self';
                         media-src 'self';
                         object-src 'self';
                         script-src https://example.com;
                         style-src 'self';
                         worker-src 'self'

规范

Specification
Content Security Policy Level 3 # directive-default-src

浏览器兼容性

参见

Help improve MDN

Learn how to contribute

This page was last modified on ⁨2025年7月4日⁩ by MDN contributors.

View this page on GitHub • Report a problem with this content