Content-Security-Policy: `fenced-frame-src`-Direktive

Limited availability

This feature is not Baseline because it does not work in some of the most widely-used browsers.

Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig vor der Verwendung auf produktiven Webseiten.

Die HTTP-Content-Security-Policy (CSP) fenced-frame-src-Direktive legt gültige Quellen für eingebettete Browsing-Kontexte fest, die in -Elemente geladen werden.

CSP-Version 1
Direktivtyp Fetch-Direktive
Fallback Ist diese Direktive nicht vorhanden, sucht der Benutzeragent nach der frame-src-Direktive (die auf die child-src-Direktive zurückfällt).

Syntax

Für die fenced-frame-src-Richtlinie können eine oder mehrere Quellen erlaubt sein:

http
Content-Security-Policy: fenced-frame-src ;
Content-Security-Policy: fenced-frame-src  ;

Eine durch Leerzeichen getrennte Liste von Quell-Ausdrucks Werten. Ressourcen dieses Typs können geladen werden, wenn sie mit einem der gegebenen Quell-Ausdrücke übereinstimmen. Für diese Direktive sind folgende Quell-Ausdruckswerte anwendbar:

  • Der Wert "https:"
  • Der Wert "https:"
  • Der String "*"

Beispiele

Verletzungsfälle

Angenommen, dieser CSP-Header:

http
Content-Security-Policy: fenced-frame-src https://example.com/

Die folgenden Quellen werden in einem fenced frame nicht geladen:

  • https://not-example.com/ (Domain stimmt nicht überein)
  • https://example.org/ (TLD stimmt nicht überein)

Spezifikationen

Specification
Fenced Frame
# new-csp-directive

Browser-Kompatibilität

Siehe auch