CSP: fenced-frame-src
Limited availability
This feature is not Baseline because it does not work in some of the most widely-used browsers.
Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig vor der Verwendung auf produktiven Webseiten.
Das HTTP-Header Content-Security-Policy (CSP)
fenced-frame-src-Direktive legt gültige Quellen für verschachtelte Browsing-Kontexte fest, die in <fencedframe>-Elementen geladen werden.
| CSP-Version | 1 |
|---|---|
| Direktivtyp | Fetch directive |
| Fallback |
Wenn diese Direktive fehlt, sucht der User-Agent nach der
frame-src-Direktive (die auf die
child-src-Direktive zurückfällt).
|
Syntax
Für die fenced-frame-src-Richtlinie können eine oder mehrere Quellen erlaubt werden:
Content-Security-Policy: fenced-frame-src <source>;
Content-Security-Policy: fenced-frame-src <source> <source>;
Eine durch Leerzeichen getrennte Liste von Source-Expression-Werten. Ressourcen dieses Typs können geladen werden, wenn sie einem der angegebenen Source-Expressions entsprechen. Für diese Direktive sind die folgenden Source-Expression-Werte anwendbar:
- Der
<host-source>-Wert"https:" - Der
<scheme-source>-Wert"https:" - Der String
"*"
Beispiele
Verstöße
Angenommen, dieser CSP-Header wird verwendet:
Content-Security-Policy: fenced-frame-src https://example.com/
Die folgenden Quellen werden in einem Fenced Frame nicht geladen:
https://not-example.com/(Domain stimmt nicht überein)https://example.org/(TLD stimmt nicht überein)
Spezifikationen
| Specification |
|---|
| Fenced Frame # new-csp-directive |
Browser-Kompatibilität
BCD tables only load in the browser