Content-Security-Policy : directive fenced-frame-src
Disponibilité limitée
Cette fonctionnalité n'est pas Compatible car elle ne fonctionne pas dans certains des navigateurs les plus utilisés.
Expérimental: Il s'agit d'une technologie expérimentale.
Vérifiez attentivement le tableau de compatibilité des navigateurs avant de l'utiliser en production.
La directive HTTP Content-Security-Policy (CSP) fenced-frame-src définit les sources valides pour les contextes de navigation imbriqués chargés dans les éléments <fencedframe>.
| Version de CSP | 1 |
|---|---|
| Type de directive | Directive de récupération |
| Solution de repli |
Si cette directive est absente, l'agent utilisateur recherchera la
directive frame-src (qui se replie sur la directive
child-src).
|
Syntaxe
Content-Security-Policy: fenced-frame-src <source-expression-list>;
<source-expression-list>-
Une liste d'expressions de source séparées par des espaces. Les ressources de ce type peuvent être chargées si elles correspondent à l'une des expressions de source données. Pour cette directive, les valeurs d'expression de source suivantes sont applicables :
- La valeur
<host-source>"https:" - La valeur
<scheme-source>"https:" - La chaîne de caractères
"*"
- La valeur
Exemples
Cas de violation
Soit cet en-tête CSP :
Content-Security-Policy: fenced-frame-src https://exemple.com/
Les sources suivantes ne se chargeront pas dans un cadre clôturé :
https://hors-exemple.com/(le domaine ne correspond pas)https://exemple.org/(le TLD ne correspond pas)
Spécifications
| Spécification |
|---|
| Fenced Frame # new-csp-directive |
Compatibilité des navigateurs
Voir aussi
- L'API Fenced Frame
- L'élément HTML
<fencedframe> - L'en-tête
Content-Security-Policy