CSP:frame-src

HTTP Content-Security-Policy (CSP) 的 frame-src 指令指定了使用诸如 <frame><iframe> 等元素加载嵌套浏览上下文的有效来源。

注意:frame-src 允许您指定页面中 iframe 可以从哪里加载。这与 frame-ancestors 不同,后者允许您指定哪个父级来源可以嵌入页面。

CSP 版本 1
指令类型 获取指令
回退 如果此指令不存在,用户代理将查找 child-src 指令(该指令回退到 default-src 指令)。

语法

可以为 frame-src 策略允许一个或多个来源

http
Content-Security-Policy: frame-src <source>;
Content-Security-Policy: frame-src <source> <source>;

来源

<source> 可以是 CSP 来源值 中列出的任何一个值。

请注意,这同一组值可以在所有 获取指令(以及 其他一些指令)中使用。

示例

违规情况

给定此 CSP 标头

http
Content-Security-Policy: frame-src https://example.com/

以下 <iframe> 将被阻止,并且不会加载

html
<iframe src="https://not-example.com/"></iframe>

规范

规范
内容安全策略级别 3
# directive-frame-src

浏览器兼容性

BCD 表格仅在浏览器中加载

另请参阅