1. Web
  2. HTTP
  3. 参考
  4. 标头
  5. Content-Security-Policy
  6. fenced-frame-src

Content-Security-Policy: fenced-frame-src 指令

可用性有限

此特性不是基线特性,因为它在一些最广泛使用的浏览器中不起作用。

实验性: 这是一项实验性技术
在生产中使用此技术之前,请仔细检查浏览器兼容性表格

HTTP Content-Security-Policy (CSP) fenced-frame-src 指令指定加载到 <fencedframe> 元素中的嵌套浏览上下文的有效来源。

CSP 版本 1
指令类型 获取指令
回退 如果此指令缺失,用户代理将查找 frame-src 指令(该指令会回退到 child-src 指令)。

语法

http
Content-Security-Policy: fenced-frame-src <source-expression-list>;
<source-expression-list>

一个由源表达式值组成的空格分隔列表。如果资源类型与任何给定的源表达式匹配,则可以加载此类资源。对于此指令,以下源表达式值适用:

示例

违规情况

给定此 CSP 头

http
Content-Security-Policy: fenced-frame-src https://example.com/

以下来源将不会在围栏框架中加载

  • https://not-example.com/ (域名不匹配)
  • https://example.org/ (顶级域名不匹配)

规范

规范
围栏框架
# new-csp-directive

浏览器兼容性

另见

帮助改进 MDN

了解如何贡献

本页面最后由 MDN 贡献者 修改。

在 GitHub 上查看此页面报告此内容的问题