Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten.Erfahre mehr über dieses Experiment.
Content-Security-Policy: frame-src Direktive
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Die HTTPContent-Security-Policy (CSP)frame-src Direktive gibt gültige Quellen für verschachtelteBrowsing-Kontexte an, die mithilfe von Elementen wie<frame> und<iframe> geladen werden.
Hinweis:frame-src ermöglicht es Ihnen, anzugeben, von wo iframes auf einer Seite geladen werden dürfen.Dies unterscheidet sich vonframe-ancestors, das angibt, welche übergeordnete Quelle eine Seite einbetten darf.
| CSP-Version | 1 |
|---|---|
| Direktivtyp | Abrufdirektive |
| Fallback | Falls diese Direktive fehlt, sucht der User-Agent nach derchild-src Direktive (die auf diedefault-src Direktive zurückfällt). |
Syntax
Content-Security-Policy: frame-src 'none';Content-Security-Policy: frame-src <source-expression-list>;Diese Direktive kann einen der folgenden Werte haben:
'none'Keine Ressourcen dieses Typs dürfen geladen werden. Die einfachen Anführungszeichen sind erforderlich.
<source-expression-list>Eine durch Leerzeichen getrennte Liste vonQuellausdruck-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quellausdruckswerte anwendbar:
Beispiele
Verletzungsfälle
Angenommen, dieser CSP-Header ist gegeben:
Content-Security-Policy: frame-src https://example.com/Das folgende<iframe> wird blockiert und nicht geladen:
<iframe src="https://not-example.com/"></iframe>Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-frame-src |