CSP:fenced-frame-src

实验性: 这是一个 实验性技术
在生产环境中使用此功能前,请仔细查看 浏览器兼容性表格

HTTP Content-Security-Policy (CSP) fenced-frame-src 指令指定加载到 <fencedframe> 元素中的嵌套浏览上下文的有效来源。

CSP 版本 1
指令类型 获取指令
回退 如果此指令不存在,用户代理将查找 frame-src 指令(该指令回退到 child-src 指令)。

语法

可以为 fenced-frame-src 策略允许一个或多个来源

http
Content-Security-Policy: fenced-frame-src <source>;
Content-Security-Policy: fenced-frame-src <source> <source>;

来源

fenced-frame-src<source>frame-src<source> 更受限制。只能使用以下源表达式

  • 方案源 "https:"
  • 主机源 "https://*:*"
  • 字符串 "*"

注意:请参阅 CSP 源值 的完整列表。

示例

违规情况

给定此 CSP 标头

http
Content-Security-Policy: fenced-frame-src https://example.com/

以下来源将无法在围栏框架中加载

  • https://not-example.com/(域名不匹配)
  • https://example.org/(顶级域名不匹配)

规范

规范
围栏框架
# 新的 CSP 指令

浏览器兼容性

BCD 表格仅在浏览器中加载

另请参阅