Content-Security-Policy: child-src 指令

Baseline 已广泛支持

该特性已非常成熟，可在多种设备和浏览器版本上使用。自 2017 年 4 月以来，它已在各大浏览器上可用。

HTTP Content-Security-Policy (CSP) child-src 指令定义了 Web worker 和使用 <frame> 和 <iframe> 等元素加载的嵌套浏览上下文的有效源。对于 worker，不合规的请求会被用户代理视为致命网络错误。

CSP 版本	2
指令类型	获取指令
`default-src` 回退	是的。如果此指令缺失，用户代理将查找 `default-src` 指令。

语法

http

Content-Security-Policy: child-src 'none';
Content-Security-Policy: child-src <source-expression-list>;

此指令可以具有以下值之一

不允许加载此类型的任何资源。单引号是强制性的。

一个由源表达式值组成的空格分隔列表。如果资源类型与任何给定的源表达式匹配，则可以加载此类资源。对于此指令，以下源表达式值适用：

给定此 CSP 头

http

Content-Security-Policy: child-src https://example.com/

此 <iframe> 和 worker 被阻止，无法加载

html

<iframe src="https://not-example.com"></iframe>

<script>
  const blockedWorker = new Worker("data:text/javascript,…");
</script>

规范
内容安全策略级别 3 # 指令-child-src

此页面最后由MDN 贡献者于2025 年 7 月 4 日修改。