Img src: Атрибут src | htmlbook.ru

Leave a Comment / Разное / By /

CSP ⟶ img-src Объяснение

  • Справочник CSP
  • Часто задаваемые вопросы
  • Тест браузера
  • Примеры

Политика безопасности содержимого (CSP)


Краткое справочное руководство

Директива img-src Политика безопасности содержимого (CSP) защищает загрузку изображений (например, с помощью тега HTML.

3

Пример политики

Предположим, что Content-Security-Policy 9Заголовок 0018 задается следующей политикой:

img-src 'я' https://images.example.com;
Разрешает

С помощью указанной выше политики CSP изображения можно загружать из одного и того же источника (через значение списка источников 'self') или через URL-адреса, начинающиеся с: https://images.example.com 


 com/photo.jpg">
Блокирует

Вышеупомянутая политика будет блокировать любое изображение не того же происхождения или через https://images.example.com , поэтому CSP заблокирует следующее:

Что означает «img-src» не был задан явно?

Если директива img-src

CSP не задана, но задана директива default-src CSP, будет применяться эта политика. Вам нужно либо убедиться, что значения атрибута img src соответствуют политике default-src, либо вам нужно добавить директива img-src к вашей политике CSP.

Вот несколько примеров того, что вы можете увидеть в консоли, когда загрузка изображений заблокирована политикой CSP с набором политик default-src :

отказался загрузить изображение, потому что оно нарушает следующую директиву политики безопасности контента: «default-src 'none'». обратите внимание, что img-src не был задан явно, поэтому в качестве запасного варианта используется default-src.
отказался загружать изображение «http://localhost:8080/favicon.ico», поскольку оно нарушает следующую директиву политики безопасности контента: «default-src 'none'». обратите внимание, что img-src не был задан явно, поэтому в качестве запасного варианта используется default-src.

Browser Support for

img-src

CSP Level 1

Supported On:

Chrome 25+ (2013)

Firefox 23+ (2013)

Safari 7+ (2013)

Edge 12+ (2015)

Не поддерживается в:

Internet Explorer

Директива CSP img-src является частью спецификации политики безопасности содержимого с момента ее первой версии (CSP уровня 1).

Internet Explorer 11 и более ранние версии не поддерживают CSP директива img-src . Это означает, что IE11 просто проигнорирует политику и разрешит загрузку изображений из любого места (как если бы политика вообще не была установлена).

Полевое руководство для разработчиков CSP

Хотите узнать все тонкости CSP? Возьмите копию CSP Developer Field Guide . Это краткое и приятное руководство, которое поможет разработчикам быстро освоиться.

Получить копию

Пытаетесь быть в курсе рекомендаций по безопасности?

Advisory Week — это еженедельный обзор всех рекомендаций по безопасности, публикуемых основными поставщиками программного обеспечения.

Правильно используйте атрибуты alt для всех изображений

Главное меню  

  • Главная страница
  • О
  • Организация  
  • Инициативы
  • UCOP >
  • Операции UC >
  • ИТС >
  • Электронная доступность >
  • Веб-разработчики >
  • Правильно используйте атрибуты alt для всех изображений.
  • Обзор
  • Инициатива
  • Стандарты и рекомендации
  • Веб-разработчики
  • Поставщики контента

Вызов
Слепые люди обычно используют программы чтения с экрана или устройства Брайля, которые «читают» текст на веб-страницах. Когда эти устройства сталкиваются с нетекстовым элементом, с которым не связан «альтернативный» текст, пользователь не может узнать, что представляет собой этот элемент, или важен ли он для содержимого страницы. Предоставьте текстовые описания нетекстовых элементов на странице, чтобы передать значение элемента пользователю. Добавление альтернативного текста к нетекстовым элементам также поддерживает людей, которые используют говорящие браузеры, текстовые браузеры или браузеры на небольших устройствах.

Нетекстовые элементы обычно представляют собой изображения (как определено с помощью тега

), но также включают графические представления текста (включая символы), области карты изображения, анимацию (например, анимированные GIF-файлы), апплеты и программные объекты, ASCII рисунки, кадры, сценарии, изображения, используемые в качестве списков, разделители, графические кнопки, звуки (воспроизводимые с участием пользователя или без него), автономные аудиофайлы, звуковые дорожки видео и видео.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *