CSP: child-src

HTTP 的 Content-Security-Policy (CSP) child-src 指令定义了使用 <frame><iframe> 等元素加载的 Web Workers 和嵌套浏览上下文的有效来源。对于 Workers,非兼容请求将被用户代理视为致命网络错误。

CSP 版本 2
指令类型 获取指令
default-src 备用 是。如果此指令不存在,用户代理将查找 default-src 指令。

语法

child-src 策略可以允许一个或多个来源。

http
Content-Security-Policy: child-src <source>;
Content-Security-Policy: child-src <source> <source>;

来源

<source> 可以是 CSP 来源值 中列出的任何一个值。

请注意,这组相同的值可以用于所有 获取指令(以及 其他一些指令)。

示例

违规情况

鉴于此 CSP 标头

http
Content-Security-Policy: child-src https://example.com/

<iframe> 和 Worker 将被阻止,无法加载

html
<iframe src="https://not-example.com"></iframe>

<script>
  const blockedWorker = new Worker("data:application/javascript,…");
</script>

规范

规范
内容安全策略级别 3
# directive-child-src

浏览器兼容性

BCD 表格仅在启用 JavaScript 的浏览器中加载。

另请参阅