Content-Security-Policy中的media-src

在进行安全扫描的时候，或者设置安全策略的时候，我们可能会在浏览器的控制台中看到以下的输出内容：

Refused to load media from 'blob:http://localhost:8000/********' because it violates the following Content Security Policy directive: "media-src *".

明显从字面意思查看，可以得知，无法正常加载 blob.... 格式的媒体文件。由于它违反了内容安全策略的指令。

当做出以下设置的时候，问题得到解决：

default-src 'unsafe-inline' 'self'; script-src 'unsafe-eval' 'unsafe-inline' 'self';style-src 'unsafe-inline' 'self';img-src 'self' https://t;media-src * blob:;

这里的前面的限制暂且不考虑，关键是针对media-src的 blob:。要注意的是这里的blob后面要有个冒号，如果没有的话，依然无法实现视频文件的正常加载。

具体详细的Content-Security-Policy的知识点，及其不同的限制策略和设置，可以在mozilla的开发网站中得到相关信息。

（图片来自：https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/media-src）

从中可以看到关于就media-src中对应的scheme-source的定义和使用，从这个我们可以了解到，scheme-source并不仅仅指 https和http。