HTTP参考手册

CSP

CSP: default-src

HTTP Content-Security-Policy（CSP）指令用作其他CSP 提取指令的后备。对于以下每个不存在的指令，用户代理都将查找指令并将其用于此值：default-srcdefault-src

child-src

connect-src

font-src

frame-src

img-src

manifest-src

media-src

object-src

script-src

style-src

worker-src

CSP版本	1
指令类型	取指令

句法

default-src政策可以允许一个或多个来源：

Content-Security-Policy: default-src <source>;
Content-Security-Policy: default-src <source> <source>;

来源

<source>可以是以下之一：

通过名称或IP地址的<host-source> Internet 主机，以及可选的 URL方案 and/or 端口号。该站点的地址可能包含一个可选的前导通配符（星号字符'*'），并且可以使用通配符（再次'*'）作为端口号，表示所有合法端口对于源都有效。

示例：

http://*.example.com：匹配使用http:URL方案从 example.com 的任何子域加载的所有尝试。

mail.example.com:443：匹配所有尝试访问 mail.example.com 上的端口443的尝试。

https://store.example.com：匹配所有尝试访问store.example.com使用https:。

<scheme-source>一种模式，如'http:' 或 'https:'。冒号是必需的，不应使用单引号。您也可以指定数据模式（不推荐）。

data:允许将data:URI用作内容源。这是不安全的; 攻击者也可以注入任意数据：URI。谨慎使用这一点，绝对不适用于脚本。

mediastream:允许将mediastream:URI用作内容源。

blob:允许将blob:URI用作内容源。

filesystem:允许将filesystem:URI用作内容源。

'self'指受保护文档的来源，包括相同的URL方案和端口号。你必须包括单引号。一些浏览器特别排除blob和filesystem从源指令。需要允许这些内容类型的网站可以使用Data属性来指定它们。

'unsafe-inline'允许使用内联资源，如内联<script>元素，javascript:URL，内联事件处理程序和内联<style>元素。你必须包括单引号。

'unsafe-eval'允许使用eval()和类似的方法从字符串创建代码。你必须包括单引号。

'none'指空集；也就是说，没有URL匹配。单引号是必需的。'nonce- <base64-value>'使用加密随机数（使用一次的数字）的特定内联脚本的白名单。每次发送策略时，服务器都必须生成唯一的随机数值。提供一个无法猜测的随机数是非常重要的，因为绕过资源的策略是微不足道的。例如，查看不安全的内联脚本。

<hash-source>脚本或样式的sha256，sha384或sha512散列。此源的使用由两部分组成：用短划线分隔的部分：用于创建散列的加密算法以及脚本或样式的base64编码散列。生成散列时，不要包含<script>或<style>标记，并注意大小写和空白字符，包括前导或尾随空格。有关示例，请参阅不安全的内联脚本。在CSP 2.0中，这仅适用于内联脚本。CSP 3.0允许它的情况下script-src用于外部脚本。

'strict-dynamic' strict-dynamic源表达式指定显式给予标记中存在的脚本的信任，通过附加一个随机数或散列，应该传播给由该脚本加载的所有脚本。与此同时，任何白名单或源表达式（例如'self'或'unsafe-inline'将被忽略）。有关示例，请参阅script-src。

示例

没有继承 `default-src`

如果指定了其他指令，default-src则不会影响它们。以下标题

Content-Security-Policy: default-src 'self'; script-src https://example.com

将与以下内容相同：

Content-Security-Policy: connect-src 'self'; 
                         font-src 'self'; 
                         frame-src 'self'; 
                         img-src 'self'; 
                         manifest-src 'self'; 
                         media-src 'self'; 
                         object-src 'self'; 
                         script-src https://example.com; 
                         style-src 'self'; 
                         worker-src 'self'

规范

规范	状态	评论
内容安全策略级别3该规范中'default-src'的定义。	编辑草稿	添加了frame-src，manifest-src和worker-src作为默认值。
内容安全策略级别2该规范中'default-src'的定义。	建议	初始定义。

浏览器兼容性

特征	Chrome	Edge	Firefox	Internet Explorer	Opera	Safari
基本支持	25	14	23.0	No	15	7

特征	Android	Chrome for Android	Edge mobile	Firefox for Android	IE mobile	Opera Android	iOS Safari
基本支撑	4.4	(Yes)	?	23.0	No	?	7.1

CSP相关

1.Content-Security-Policy
2.Content-Security-Policy-Report-Only
3.CSP: base-uri
4.CSP: block-all-mixed-content
5.CSP: child-src
6.CSP: connect-src
7.CSP: font-src
8.CSP: form-action
9.CSP: frame-ancestors
10.CSP: frame-src
11.CSP: img-src
12.CSP: manifest-src
13.CSP: media-src
14.CSP: object-src
15.CSP: plugin-types
16.CSP: referrer
17.CSP: report-uri
18.CSP: require-sri-for
19.CSP: sandbox
20.CSP: script-src
21.CSP: style-src
22.CSP: upgrade-insecure-requests
23.CSP: worker-src

HTTP

超文本传输协议（ HTTP，HyperText Transfer Protocol ) 是互联网上应用最为广泛的一种网络协议。所有的 WWW 文件都必须遵守这个标准。

HTTP目录

1.指南 \| Guides
2.指南：基础 \| Guides: Basics
3.CSP
4.标题 \| Headers
5.方法 \| Methods
6.RFC 2616: HTTP/1.1
7.RFC 4918: WebDAV
8.RFC 5023: The Atom Publishing Protocol
9.RFC 7230: Message Syntax and Routing
10.RFC 7231: Semantics and Content
11.RFC 7232: Conditional Requests
12.RFC 7233: Range Requests
13.RFC 7234: Caching
14.RFC 7235: Authentication
15.状态 \| Status
16.HTTP 请求方法
17.HTTP状态码
18.HTTP 响应头信息
19.HTTP 教程