Content-Security-Policy : directive media-src
Baseline
Large disponibilité
Cette fonctionnalité est bien établie et fonctionne sur de nombreux appareils et versions de navigateurs. Elle est disponible sur tous les navigateurs depuis août 2016.
La directive HTTP Content-Security-Policy (CSP) media-src spécifie les sources valides pour le chargement des médias avec les éléments HTML <audio> et <video>.
| Version de CSP | 1 |
|---|---|
| Type de directive | Directive de récupération |
Solution de repli default-src |
Oui, si cette directive est absente, l'agent utilisateur consultera la directive default-src.
|
Syntaxe
Content-Security-Policy: media-src 'none';
Content-Security-Policy: media-src <source-expression-list>;
Cette directive peut avoir l'une des valeurs suivantes :
'none'-
Aucune ressource de ce type ne peut être chargée. Les guillemets simples sont obligatoires.
<source-expression-list>-
Une liste de valeurs d'expressions de source séparées par des espaces. Les ressources de ce type peuvent être chargées si elles correspondent à l'une des expressions de source données. Pour cette directive, les valeurs d'expression de source suivantes sont applicables :
Exemples
Cas de violation
Soit cet en-tête CSP :
Content-Security-Policy: media-src https://exemple.com/
Ces éléments HTML <audio>, <video> et
<track> seront bloqués et ne se chargeront pas :
<audio src="https://hors-exemple.com/audio"></audio>
<video src="https://hors-exemple.com/video">
<track kind="subtitles" src="https://hors-exemple.com/subtitles" />
</video>
Spécifications
| Spécification |
|---|
| Content Security Policy Level 3 # directive-media-src |
Compatibilité des navigateurs
Voir aussi
- L'en-tête
Content-Security-Policy - Les éléments HTML
<audio>,<video>et<track>