CSP: fenced-frame-src
Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig, bevor Sie diese produktiv verwenden.
Die HTTP Content-Security-Policy (CSP)
fenced-frame-src Direktive gibt gültige Quellen für verschachtelte Browsing-Kontexte an, die in <fencedframe>-Elemente geladen werden.
| CSP-Version | 1 |
|---|---|
| Direktivtyp | Fetch directive |
| Fallback |
Wenn diese Direktive fehlt, sucht der Benutzeragent nach der
frame-src Direktive (die auf die
child-src Direktive zurückfällt).
|
Syntax
Eine oder mehrere Quellen können für die fenced-frame-src-Richtlinie erlaubt werden:
Content-Security-Policy: fenced-frame-src <source>;
Content-Security-Policy: fenced-frame-src <source> <source>;
Eine durch Leerzeichen getrennte Liste von Quellenausdruck-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellenausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quellenausdruck-Werte anwendbar:
- Der
<host-source>Wert"https:" - Der
<scheme-source>Wert"https:" - Der String
"*"
Beispiele
Verletzungsfälle
Angenommen, dieser CSP-Header:
Content-Security-Policy: fenced-frame-src https://example.com/
Die folgenden Quellen werden in einem abgeschotteten Rahmen nicht geladen:
https://not-example.com/(Domain stimmt nicht überein)https://example.org/(TLD stimmt nicht überein)
Spezifikationen
| Specification |
|---|
| Fenced Frame # new-csp-directive |
Browser-Kompatibilität
BCD tables only load in the browser