Content-Security-Policy : directive font-src
Baseline
Large disponibilité
Cette fonctionnalité est bien établie et fonctionne sur de nombreux appareils et versions de navigateurs. Elle est disponible sur tous les navigateurs depuis août 2016.
La directive HTTP Content-Security-Policy (CSP) font-src définit les sources valides pour les polices de caractères chargées avec la règle CSS @font-face.
| Version de CSP | 1 |
|---|---|
| Type de directive | Directive de récupération |
Solution de repli default-src |
Oui, si cette directive est absente, l'agent utilisateur consultera la directive default-src.
|
Syntaxe
Content-Security-Policy: font-src 'none';
Content-Security-Policy: font-src <source-expression-list>;
Cette directive peut avoir l'une des valeurs suivantes :
'none'-
Aucune ressource de ce type ne peut être chargée. Les guillemets simples sont obligatoires.
<source-expression-list>-
Une liste de valeurs d'expressions de source séparées par des espaces. Les ressources de ce type peuvent être chargées si elles correspondent à l'une des expressions de source données. Pour cette directive, les valeurs d'expression de source suivantes sont applicables :
Exemples
Cas de violation
Soit cet en-tête CSP :
Content-Security-Policy: font-src https://exemple.com/
Cette définition de police sera bloquée et ne se chargera pas :
<style>
@font-face {
font-family: "MaPolice";
src: url("https://hors-exemple.com/font");
}
body {
font-family: "MaPolice";
}
</style>
Spécifications
| Spécification |
|---|
| Content Security Policy Level 3 # directive-font-src |
Compatibilité des navigateurs
Voir aussi
- L'en-tête
Content-Security-Policy - La règle CSS
@font-face