CSP: frame-ancestors
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.
Die HTTP Content-Security-Policy (CSP) frame-ancestors Direktive legt gültige Eltern fest, die eine Seite mithilfe von <frame>, <iframe>, <object> oder <embed> einbetten dürfen.
Diese Direktive auf 'none' zu setzen, ist ähnlich wie X-Frame-Options: deny (was auch in älteren Browsern unterstützt wird).
Hinweis: frame-ancestors ermöglicht Ihnen zu spezifizieren, welche übergeordnete Quelle eine Seite einbetten darf.
Dies unterscheidet sich von frame-src, bei dem Sie angeben können, von wo Iframes in einer Seite geladen werden dürfen.
| CSP-Version | 2 |
|---|---|
| Direktiventyp | Navigations-Direktive |
default-src Fallback |
Nein. Wird dies nicht gesetzt, ist alles erlaubt. |
Diese Direktive wird im <meta> Element nicht unterstützt.
|
|
Syntax
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'-
Diese Ressource darf nicht eingebettet werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von source expression-Werten. Diese Ressource darf eingebettet werden, wenn der Einbinder mit einem der angegebenen Quellausdrücke übereinstimmt. Für diese Direktive sind die folgenden Quellausdrückewerte anwendbar:
Hinweis:
Die Syntax der frame-ancestors Direktive ist ähnlich der Quellenlisten-Syntax, die von anderen Direktiven akzeptiert wird (zum Beispiel child-src), aber sie fällt nicht auf die default-src Einstellung zurück. Eine Richtlinie, die default-src 'none' angibt, erlaubt es immer noch, dass die Ressource von jedem eingebettet wird.
Beispiele
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors 'self' https://www.example.org;
Content-Security-Policy: frame-ancestors 'self' https://example.org https://example.com https://store.example.com;
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-frame-ancestors |
Browser-Kompatibilität
BCD tables only load in the browser