CSP: frame-src
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Der HTTP-Content-Security-Policy (CSP) frame-src-Direktive gibt gültige Quellen für verschachtelte Browsing-Kontexte an, die mit Elementen wie <frame> und <iframe> geladen werden.
Note:
frame-srcermöglicht es Ihnen festzulegen, von wo ausiframesauf einer Seite geladen werden dürfen. Dies unterscheidet sich vonframe-ancestors, das festlegt, welche übergeordnete Quelle eine Seite einbetten darf.
| CSP-Version | 1 |
|---|---|
| Direktivtyp | Fetch-Direktive |
| Fallback |
Ist diese Direktive nicht vorhanden, wird der Benutzeragent die
child-src-Direktive suchen (die auf die
default-src-Direktive zurückfällt).
|
Syntax
Content-Security-Policy: frame-src 'none';
Content-Security-Policy: frame-src <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'-
Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Source-Expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen.
Quellausdrücke werden als Schlüsselwortwerte oder URL-Muster angegeben: Die Syntax für jeden Quellausdruck wird in CSP-Quellenwerte beschrieben.
Beispiele
Verstöße
Angenommen, dieser CSP-Header:
Content-Security-Policy: frame-src https://example.com/
Das folgende <iframe> wird blockiert und nicht geladen:
<iframe src="https://not-example.com/"></iframe>
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-frame-src |
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
Content-Security-Policy<frame>und<iframe>frame-ancestors