CSP: fenced-frame-src
Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig, bevor Sie diese produktiv verwenden.
Die HTTP Content-Security-Policy
(CSP)
fenced-frame-src
Direktive gibt gültige Quellen für verschachtelte Browsing-Kontexte an, die in <fencedframe>
-Elemente geladen werden.
CSP-Version | 1 |
---|---|
Direktivtyp | Fetch directive |
Fallback |
Wenn diese Direktive fehlt, sucht der Benutzeragent nach der
frame-src Direktive (die auf die
child-src Direktive zurückfällt).
|
Syntax
Eine oder mehrere Quellen können für die fenced-frame-src
-Richtlinie erlaubt werden:
Content-Security-Policy: fenced-frame-src <source>;
Content-Security-Policy: fenced-frame-src <source> <source>;
Eine durch Leerzeichen getrennte Liste von Quellenausdruck-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen Quellenausdrücke übereinstimmen. Für diese Direktive sind die folgenden Quellenausdruck-Werte anwendbar:
- Der
<host-source>
Wert"https:"
- Der
<scheme-source>
Wert"https:"
- Der String
"*"
Beispiele
Verletzungsfälle
Angenommen, dieser CSP-Header:
Content-Security-Policy: fenced-frame-src https://example.com/
Die folgenden Quellen werden in einem abgeschotteten Rahmen nicht geladen:
https://not-example.com/
(Domain stimmt nicht überein)https://example.org/
(TLD stimmt nicht überein)
Spezifikationen
Specification |
---|
Fenced Frame # new-csp-directive |
Browser-Kompatibilität
BCD tables only load in the browser