CSP: fenced-frame-src

Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig, bevor Sie diese produktiv verwenden.

Die HTTP Content-Security-Policy (CSP) fenced-frame-src Direktive gibt gültige Quellen für verschachtelte Browsing-Kontexte an, die in <fencedframe>-Elemente geladen werden.

CSP-Version 1
Direktivtyp Fetch directive
Fallback Wenn diese Direktive fehlt, sucht der Benutzeragent nach der frame-src Direktive (die auf die child-src Direktive zurückfällt).

Syntax

Eine oder mehrere Quellen können für die fenced-frame-src-Richtlinie erlaubt werden:

http
Content-Security-Policy: fenced-frame-src <source>;
Content-Security-Policy: fenced-frame-src <source> <source>;

Eine durch Leerzeichen getrennte Liste von Quellenausdruck-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellenausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quellenausdruck-Werte anwendbar:

Beispiele

Verletzungsfälle

Angenommen, dieser CSP-Header:

http
Content-Security-Policy: fenced-frame-src https://example.com/

Die folgenden Quellen werden in einem abgeschotteten Rahmen nicht geladen:

  • https://not-example.com/ (Domain stimmt nicht überein)
  • https://example.org/ (TLD stimmt nicht überein)

Spezifikationen

Specification
Fenced Frame
# new-csp-directive

Browser-Kompatibilität

BCD tables only load in the browser

Siehe auch