Content-Security-Policy: frame-ancestors Richtlinie
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since January 2018.
Die HTTP Content-Security-Policy (CSP) frame-ancestors Richtlinie gibt gültige Eltern an, die eine Seite mittels <frame>, <iframe>, <object> oder <embed> einbetten dürfen.
Diese Richtlinie auf 'none' zu setzen, ist ähnlich wie X-Frame-Options: deny (was auch in älteren Browsern unterstützt wird).
Hinweis:
frame-ancestors erlaubt es Ihnen anzugeben, welche übergeordnete Quelle eine Seite einbetten darf.
Dies unterscheidet sich von frame-src, das angibt, von wo iframes in einer Seite geladen werden dürfen.
| CSP-Version | 2 |
|---|---|
| Richtlinientyp | Navigationsrichtlinie |
default-src Fallback |
Nein. Wenn dies nicht gesetzt ist, ist alles erlaubt. |
Diese Richtlinie wird im <meta>-Element nicht unterstützt.
|
|
Syntax
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors <source-expression-list>;
Diese Richtlinie kann einen der folgenden Werte haben:
'none'-
Diese Ressource darf nicht eingebettet werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Quellausdrucks-Werten. Diese Ressource darf eingebettet werden, wenn der Einbettende mit einem der angegebenen Quellausdrücke übereinstimmt. Für diese Richtlinie sind die folgenden Quellausdrucks-Werte anwendbar:
Hinweis:
Die Syntax der frame-ancestors Richtlinie ist ähnlich zu der Quelllisten-Syntax, die von anderen Richtlinien akzeptiert wird (z. B. child-src), aber sie fällt nicht auf die default-src Einstellung zurück. Eine Richtlinie, die default-src 'none' deklariert, erlaubt es dennoch, dass die Ressource von jedem eingebettet wird.
Beispiele
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors 'self' https://www.example.org;
Content-Security-Policy: frame-ancestors 'self' https://example.org https://example.com https://store.example.com;
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-frame-ancestors |