CSP: fenced-frame-src
Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig, bevor Sie diese produktiv verwenden.
Das HTTP-Content-Security-Policy
(CSP)
fenced-frame-src
-Direktive gibt gültige Quellen für verschachtelte Browsing-Kontexte an, die in <fencedframe>
-Elementen geladen werden.
CSP-Version | 1 |
---|---|
Direktivtyp | Fetch-Direktive |
Fallback |
Wenn diese Direktive fehlt, sucht der Benutzeragent nach der
frame-src -Direktive (die auf die
child-src -Direktive zurückfällt).
|
Syntax
Eine oder mehrere Quellen können für die fenced-frame-src
-Richtlinie zugelassen werden:
Content-Security-Policy: fenced-frame-src <source>;
Content-Security-Policy: fenced-frame-src <source> <source>;
Quellen
<source>
s für fenced-frame-src
sind stärker eingeschränkt als für frame-src
. Nur die folgenden Quellausdrücke können verwendet werden:
- Die Schema-Quelle
"https:"
- Die Host-Quelle
"https://*:*"
- Der String
"*"
Hinweis: Siehe die vollständige Liste der CSP-Quellwerte.
Beispiele
Verletzungsfälle
Angenommen, dieser CSP-Header ist gegeben:
Content-Security-Policy: fenced-frame-src https://example.com/
Die folgenden Quellen werden in einem fenced frame nicht geladen:
https://not-example.com/
(Domain stimmt nicht überein)https://example.org/
(TLD stimmt nicht überein)
Spezifikationen
Specification |
---|
Fenced Frame # new-csp-directive |
Browser-Kompatibilität
BCD tables only load in the browser