CSP: frame-ancestors

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

Die HTTP-Content-Security-Policy (CSP)-Direktive frame-ancestors legt gültige Eltern fest, die eine Seite mithilfe von <frame>, <iframe>, <object> oder <embed> einbetten dürfen.

Das Setzen dieser Direktive auf 'none' ist vergleichbar mit X-Frame-Options: deny (was auch in älteren Browsern unterstützt wird).

Hinweis: frame-ancestors erlaubt es Ihnen, festzulegen, welche übergeordnete Quelle eine Seite einbetten darf. Dies unterscheidet sich von frame-src, welches festlegt, von welchen Quellen iframes auf einer Seite geladen werden dürfen.

CSP-Version 2
Direktiventyp Navigationsdirektive
default-src-Fallback Nein. Wenn diese nicht gesetzt ist, ist alles erlaubt.
Diese Direktive wird im <meta> -Element nicht unterstützt.

Syntax

http
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Diese Ressource darf nicht eingebettet werden. Die einfachen Anführungszeichen sind verpflichtend.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von source expression-Werten. Diese Ressource darf eingebettet werden, wenn der Einbettende mit einem der angegebenen Quellausdrücke übereinstimmt. Für diese Direktive sind die folgenden Quellausdruckswerte anwendbar:

Hinweis: Die Syntax der Direktive frame-ancestors ist ähnlich der Quelllisten-Syntax, die von anderen Direktiven akzeptiert wird (z. B. child-src), aber sie fällt nicht auf die Einstellung von default-src zurück. Eine Richtlinie, die default-src 'none' deklariert, erlaubt trotzdem, dass die Ressource von jedem eingebettet wird.

Beispiele

http
Content-Security-Policy: frame-ancestors 'none';

Content-Security-Policy: frame-ancestors 'self' https://www.example.org;

Content-Security-Policy: frame-ancestors 'self' https://example.org https://example.com https://store.example.com;

Spezifikationen

Specification
Content Security Policy Level 3
# directive-frame-ancestors

Browser-Kompatibilität

Siehe auch