object-srcobject-src 는 <object>, <embed> (그리고 레거시 <applet>)로 로드되는 플러그인 콘텐츠의 출처를 제어합니다. 미지정 시 default-src 를 상속합니다. 현대 웹에서는 거의 항상 'none' 으로 완전 차단하는 것이 모범 사례입니다.
Flash·Java·Silverlight 등 플러그인은 과거 심각한 실행 취약점의 온상이었고, <object>/<embed> 는 스크립트 실행이나 CSP 우회 경로로 악용될 수 있습니다. 대부분의 사이트는 이런 레거시 플러그인이 전혀 필요 없으므로 object-src 'none' 을 명시해 잠재적 공격 벡터를 원천 차단하는 것이 권장됩니다. Google 의 엄격 CSP 권장안에서도 object-src 'none' 은 script-src nonce, base-uri 'self' 와 함께 3대 필수 항목으로 꼽힙니다.
object-src 는 default-src 로 폴백되기는 하지만, default-src 를 넉넉히 열어둔 정책이라면 object-src 를 별도로 'none' 으로 못박아 두는 편이 안전합니다. 플러그인 MIME 타입 제한이 필요했던 plugin-types 지시어는 폐기되었으므로, 통제는 object-src 로 일원화합니다.
Content-Security-Policy: object-src 'none'