CSP: fenced-frame-src

Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig, bevor Sie diese produktiv verwenden.

Das HTTP-Content-Security-Policy (CSP) fenced-frame-src-Direktive gibt gültige Quellen für verschachtelte Browsing-Kontexte an, die in <fencedframe>-Elementen geladen werden.

CSP-Version 1
Direktivtyp Fetch-Direktive
Fallback Wenn diese Direktive fehlt, sucht der Benutzeragent nach der frame-src-Direktive (die auf die child-src-Direktive zurückfällt).

Syntax

Eine oder mehrere Quellen können für die fenced-frame-src-Richtlinie zugelassen werden:

http
Content-Security-Policy: fenced-frame-src <source>;
Content-Security-Policy: fenced-frame-src <source> <source>;

Quellen

<source>s für fenced-frame-src sind stärker eingeschränkt als für frame-src. Nur die folgenden Quellausdrücke können verwendet werden:

  • Die Schema-Quelle "https:"
  • Die Host-Quelle "https://*:*"
  • Der String "*"

Hinweis: Siehe die vollständige Liste der CSP-Quellwerte.

Beispiele

Verletzungsfälle

Angenommen, dieser CSP-Header ist gegeben:

http
Content-Security-Policy: fenced-frame-src https://example.com/

Die folgenden Quellen werden in einem fenced frame nicht geladen:

  • https://not-example.com/ (Domain stimmt nicht überein)
  • https://example.org/ (TLD stimmt nicht überein)

Spezifikationen

Specification
Fenced Frame
# new-csp-directive

Browser-Kompatibilität

BCD tables only load in the browser

Siehe auch