CSP: child-src
HTTP 的 Content-Security-Policy
(CSP) child-src
指令定义了使用 <frame>
和 <iframe>
等元素加载的 Web Workers 和嵌套浏览上下文的有效来源。对于 Workers,非兼容请求将被用户代理视为致命网络错误。
CSP 版本 | 2 |
---|---|
指令类型 | 获取指令 |
default-src 备用 |
是。如果此指令不存在,用户代理将查找 default-src 指令。 |
语法
child-src
策略可以允许一个或多个来源。
http
Content-Security-Policy: child-src <source>;
Content-Security-Policy: child-src <source> <source>;
来源
示例
违规情况
鉴于此 CSP 标头
http
Content-Security-Policy: child-src https://example.com/
此 <iframe>
和 Worker 将被阻止,无法加载
html
<iframe src="https://not-example.com"></iframe>
<script>
const blockedWorker = new Worker("data:application/javascript,…");
</script>
规范
规范 |
---|
内容安全策略级别 3 # directive-child-src |
浏览器兼容性
BCD 表格仅在启用 JavaScript 的浏览器中加载。