CSP: child-src

HTTP 的 Content-Security-Policy (CSP) child-src 指令定義了使用 <frame><iframe> 等元素載入的 Web Workers 和巢狀瀏覽上下文的有效來源。對於 Workers,非相容請求將被使用者代理視為致命網路錯誤。

CSP 版本 2
指令型別 獲取指令
default-src 備用 是。如果此指令不存在,使用者代理將查詢 default-src 指令。

語法

child-src 策略可以允許一個或多個來源。

http
Content-Security-Policy: child-src <source>;
Content-Security-Policy: child-src <source> <source>;

來源

<source> 可以是 CSP 來源值 中列出的任何一個值。

請注意,這組相同的值可以用於所有 獲取指令(以及 其他一些指令)。

示例

違規情況

鑑於此 CSP 標頭

http
Content-Security-Policy: child-src https://example.com/

<iframe> 和 Worker 將被阻止,無法載入

html
<iframe src="https://not-example.com"></iframe>

<script>
  const blockedWorker = new Worker("data:application/javascript,…");
</script>

規範

規範
內容安全策略級別 3
# directive-child-src

瀏覽器相容性

BCD 表格僅在啟用 JavaScript 的瀏覽器中載入。

另請參閱