CSP: frame-src

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

Die HTTP Content-Security-Policy (CSP) frame-src Direktive spezifiziert gültige Quellen für verschachtelte Browsing-Kontexte, die mit Elementen wie <frame> und <iframe> geladen werden.

Note: frame-src ermöglicht Ihnen, festzulegen, von wo iframes auf einer Seite geladen werden dürfen. Dies unterscheidet sich von frame-ancestors, das festlegt, welche übergeordnete Quelle eine Seite einbetten darf.

CSP-Version 1
Direktivtyp Fetch directive
Fallback Falls diese Direktive fehlt, sucht der Benutzeragent nach der child-src Direktive (die auf die default-src Direktive zurückfällt).

Syntax

http
Content-Security-Policy: frame-src 'none';
Content-Security-Policy: frame-src <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von source expression Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellen-Ausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quellen-Ausdrücke anwendbar:

Beispiele

Verletzungsfälle

Angenommen, dieser CSP-Header:

http
Content-Security-Policy: frame-src https://example.com/

Das folgende <iframe> wird blockiert und nicht geladen:

html
<iframe src="https://not-example.com/"></iframe>

Spezifikationen

Specification
Content Security Policy Level 3
# directive-frame-src

Browser-Kompatibilität

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
frame-src

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support

Siehe auch