HTTP Content-Security-Policy require-sri-for指令指示客户端要求在页面上使用子资源完整性用于脚本或样式。

句法

Content-Security-Policy: require-sri-for script;Content-Security-Policy: require-sri-for style;Content-Security-Policy: require-sri-for script style;

script需要SRI的脚本。style需要SRI的样式表。对于脚本和样式表都script style需要SRI。

示例

如果您使用此指令将站点设置为需要SRI以获得脚本和样式：

Content-Security-Policy: require-sri-for script style

<script> 像下面这样的元素将被加载，因为它们使用有效的完整性属性。

<script src="https://code.jquery.com/jquery-3.1.1.slim.js"
        integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA="
        crossorigin="anonymous"></script>

不推荐使用的HTTP Content-Security-Policy（CSP）report-uri指令指示用户代理报告违反内容安全策略的企图。这些违规报告由通过HTTP POST请求发送到指定URI的JSON文档组成。

尽管report-to指令旨在取代已弃用的report-uri指令，report-to但在大多数浏览器中仍不受支持。因此，对于当前浏览器的同时，还加入向前兼容的浏览器时获得的兼容性report-to支持，您可以同时指定report-uri和report-to：

Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname

在支持的浏览器中report-to，report-uri指令将被忽略。

该指令本身没有任何影响，但仅与其他指令结合起来才有意义。

| 该指令在<meta>元素中不受支持。|