Content-Security-Policy: `fenced-frame-src`-Direktive
Limited availability
This feature is not Baseline because it does not work in some of the most widely-used browsers.
Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig vor der Verwendung auf produktiven Webseiten.
Die HTTP-Content-Security-Policy (CSP) fenced-frame-src-Direktive legt gültige Quellen für eingebettete Browsing-Kontexte fest, die in <fencedframe>-Elemente geladen werden.
| CSP-Version | 1 |
|---|---|
| Direktivtyp | Fetch-Direktive |
| Fallback |
Ist diese Direktive nicht vorhanden, sucht der Benutzeragent nach der
frame-src-Direktive (die auf die child-src-Direktive zurückfällt).
|
Syntax
Für die fenced-frame-src-Richtlinie können eine oder mehrere Quellen erlaubt sein:
Content-Security-Policy: fenced-frame-src <source>;
Content-Security-Policy: fenced-frame-src <source> <source>;
Eine durch Leerzeichen getrennte Liste von Quell-Ausdrucks Werten. Ressourcen dieses Typs können geladen werden, wenn sie mit einem der gegebenen Quell-Ausdrücke übereinstimmen. Für diese Direktive sind folgende Quell-Ausdruckswerte anwendbar:
- Der
<host-source>Wert"https:" - Der
<scheme-source>Wert"https:" - Der String
"*"
Beispiele
Verletzungsfälle
Angenommen, dieser CSP-Header:
Content-Security-Policy: fenced-frame-src https://example.com/
Die folgenden Quellen werden in einem fenced frame nicht geladen:
https://not-example.com/(Domain stimmt nicht überein)https://example.org/(TLD stimmt nicht überein)
Spezifikationen
| Specification |
|---|
| Fenced Frame # new-csp-directive |