CSP:frame-src
HTTP Content-Security-Policy
(CSP) 的 frame-src
指令指定了使用诸如 <frame>
和 <iframe>
等元素加载嵌套浏览上下文的有效来源。
注意:frame-src
允许您指定页面中 iframe 可以从哪里加载。这与 frame-ancestors
不同,后者允许您指定哪个父级来源可以嵌入页面。
CSP 版本 | 1 |
---|---|
指令类型 | 获取指令 |
回退 | 如果此指令不存在,用户代理将查找 child-src 指令(该指令回退到 default-src 指令)。 |
语法
可以为 frame-src
策略允许一个或多个来源
http
Content-Security-Policy: frame-src <source>;
Content-Security-Policy: frame-src <source> <source>;
来源
示例
违规情况
给定此 CSP 标头
http
Content-Security-Policy: frame-src https://example.com/
以下 <iframe>
将被阻止,并且不会加载
html
<iframe src="https://not-example.com/"></iframe>
规范
规范 |
---|
内容安全策略级别 3 # directive-frame-src |
浏览器兼容性
BCD 表格仅在浏览器中加载