CSP: fenced-frame-src
Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig, bevor Sie diese produktiv verwenden.
Das HTTP-Content-Security-Policy (CSP)
fenced-frame-src-Direktive gibt gültige Quellen für verschachtelte Browsing-Kontexte an, die in <fencedframe>-Elementen geladen werden.
| CSP-Version | 1 |
|---|---|
| Direktivtyp | Fetch-Direktive |
| Fallback |
Wenn diese Direktive fehlt, sucht der Benutzeragent nach der
frame-src-Direktive (die auf die
child-src-Direktive zurückfällt).
|
Syntax
Eine oder mehrere Quellen können für die fenced-frame-src-Richtlinie zugelassen werden:
Content-Security-Policy: fenced-frame-src <source>;
Content-Security-Policy: fenced-frame-src <source> <source>;
Quellen
<source>s für fenced-frame-src sind stärker eingeschränkt als für frame-src. Nur die folgenden Quellausdrücke können verwendet werden:
- Die Schema-Quelle
"https:" - Die Host-Quelle
"https://*:*" - Der String
"*"
Hinweis: Siehe die vollständige Liste der CSP-Quellwerte.
Beispiele
Verletzungsfälle
Angenommen, dieser CSP-Header ist gegeben:
Content-Security-Policy: fenced-frame-src https://example.com/
Die folgenden Quellen werden in einem fenced frame nicht geladen:
https://not-example.com/(Domain stimmt nicht überein)https://example.org/(TLD stimmt nicht überein)
Spezifikationen
| Specification |
|---|
| Fenced Frame # new-csp-directive |
Browser-Kompatibilität
BCD tables only load in the browser