Content-Security-Policy: style-src-elem directive
Baseline
2025
Newly available
Since December 2025, this feature works across the latest devices and browser versions. This feature might not work in older devices or browsers.
Chỉ thị style-src-elem trong HTTP Content-Security-Policy (CSP) chỉ định các nguồn hợp lệ cho các phần tử stylesheet <style> và các phần tử <link> với rel="stylesheet".
Chỉ thị này không đặt các nguồn hợp lệ cho các thuộc tính style nội tuyến; chúng được đặt bằng style-src-attr (và các nguồn hợp lệ cho tất cả style có thể được đặt bằng style-src).
| Phiên bản CSP | 3 |
|---|---|
| Loại chỉ thị | Fetch directive |
Dự phòng default-src |
Có.
Nếu chỉ thị này vắng mặt thì trình duyệt sẽ tìm kiếm chỉ thị |
Cú pháp
Content-Security-Policy: style-src-elem 'none';
Content-Security-Policy: style-src-elem <source-expression-list>;
Chỉ thị này có thể nhận một trong các giá trị sau:
'none'-
Không có tài nguyên nào thuộc loại này được tải. Dấu nháy đơn là bắt buộc.
<source-expression-list>-
Danh sách các giá trị biểu thức nguồn phân cách bằng khoảng trắng. Tài nguyên thuộc loại này có thể được tải nếu chúng khớp với bất kỳ biểu thức nguồn nào. Đối với chỉ thị này, các giá trị biểu thức nguồn tương tự như đối với
style-srcđều có thể áp dụng, ngoại trừ'unsafe-hashes'.
style-src-elem có thể được sử dụng kết hợp với style-src:
Content-Security-Policy: style-src <source>;
Content-Security-Policy: style-src-elem <source>;
Ví dụ
Trường hợp vi phạm
Với tiêu đề CSP này:
Content-Security-Policy: style-src-elem https://example.com/
…các stylesheet sau bị chặn và sẽ không tải:
<link href="https://not-example.com/styles/main.css" rel="stylesheet" />
<style>
#inline-style {
background: red;
}
</style>
<style>
@import "https://not-example.com/styles/print.css" print;
</style>
…cũng như các style được tải bằng tiêu đề Link:
Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet
Thông số kỹ thuật
| Thông số kỹ thuật |
|---|
| Content Security Policy Level 3 # directive-style-src-elem |