CSP: frame-ancestors
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Die HTTP-Content-Security-Policy
(CSP)-Direktive frame-ancestors
legt gültige Eltern fest, die eine Seite mithilfe von <frame>
, <iframe>
, <object>
oder <embed>
einbetten dürfen.
Das Setzen dieser Direktive auf 'none'
ist vergleichbar mit X-Frame-Options
: deny
(was auch in älteren Browsern unterstützt wird).
Hinweis: frame-ancestors
erlaubt es Ihnen, festzulegen, welche übergeordnete Quelle eine Seite einbetten darf.
Dies unterscheidet sich von frame-src
, welches festlegt, von welchen Quellen iframes
auf einer Seite geladen werden dürfen.
CSP-Version | 2 |
---|---|
Direktiventyp | Navigationsdirektive |
default-src -Fallback |
Nein. Wenn diese nicht gesetzt ist, ist alles erlaubt. |
Diese Direktive wird im <meta>
-Element nicht unterstützt.
|
Syntax
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'
-
Diese Ressource darf nicht eingebettet werden. Die einfachen Anführungszeichen sind verpflichtend.
<source-expression-list>
-
Eine durch Leerzeichen getrennte Liste von source expression-Werten. Diese Ressource darf eingebettet werden, wenn der Einbettende mit einem der angegebenen Quellausdrücke übereinstimmt. Für diese Direktive sind die folgenden Quellausdruckswerte anwendbar:
Hinweis:
Die Syntax der Direktive frame-ancestors
ist ähnlich der Quelllisten-Syntax, die von anderen Direktiven akzeptiert wird (z. B. child-src
), aber sie fällt nicht auf die Einstellung von default-src
zurück. Eine Richtlinie, die default-src 'none'
deklariert, erlaubt trotzdem, dass die Ressource von jedem eingebettet wird.
Beispiele
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors 'self' https://www.example.org;
Content-Security-Policy: frame-ancestors 'self' https://example.org https://example.com https://store.example.com;
Spezifikationen
Specification |
---|
Content Security Policy Level 3 # directive-frame-ancestors |