img-srcimg-src 는 이미지와 파비콘 리소스를 어디서 불러올 수 있는지 제어합니다. <img>, <picture>, CSS background-image, favicon, SVG <image> 등이 대상입니다. 미지정 시 default-src 를 상속합니다.
값으로 'self', 특정 호스트(https://images.example.com), CDN, 그리고 흔히 data: 스킴을 함께 지정합니다. base64 인라인 이미지(data:)를 쓰는 사이트가 많아 data: 를 허용하는 경우가 잦지만, data: 를 무분별하게 열면 공격자가 인라인 페이로드를 심을 여지가 생기므로 필요한 곳에만 국한하는 것이 좋습니다. blob: 는 클라이언트에서 생성한 이미지(Canvas toBlob 등)를 표시할 때 필요합니다.
이미지 로딩은 XSS 직접 실행 위험은 낮지만, 외부 이미지 요청을 통한 사용자 추적·핑백, 그리고 CSP 위반 리포트를 트리거하는 노이즈의 원인이 됩니다. 광고·분석 픽셀을 쓰는 사이트는 해당 도메인을 화이트리스트에 추가해야 이미지가 정상 표시됩니다.
Content-Security-Policy: img-src 'self' data: https://images.example.com