Content-Security-Policy: fenced-frame-src directive
Limited availability
This feature is not Baseline because it does not work in some of the most widely-used browsers.
Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig vor der Verwendung auf produktiven Webseiten.
Der HTTP-Header Content-Security-Policy (CSP) fenced-frame-src-Direktive spezifiziert gültige Quellen für verschachtelte Browsing-Kontexte, die in <fencedframe>-Elemente geladen werden.
| CSP-Version | 1 |
|---|---|
| Direktivtyp | Fetch-Direktive |
| Fallback |
Wenn diese Direktive fehlt, wird der User-Agent nach der frame-src-Direktive suchen (die als Fallback die child-src-Direktive hat).
|
Syntax
Content-Security-Policy: fenced-frame-src <source-expression-list>;
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von source expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen source expressions übereinstimmen. Für diese Direktive sind die folgenden source expression Werte anwendbar:
- Der
<host-source>-Wert"https:" - Der
<scheme-source>-Wert"https:" - Die Zeichenkette
"*"
- Der
Beispiele
Verletzungsfälle
Gegeben dieser CSP-Header:
Content-Security-Policy: fenced-frame-src https://example.com/
Die folgenden Quellen werden in einem fenced frame nicht geladen:
https://not-example.com/(Domain stimmt nicht überein)https://example.org/(TLD stimmt nicht überein)
Spezifikationen
| Specification |
|---|
| Fenced Frame # new-csp-directive |