CSP:frame-src

HTTP Content-Security-Policy (CSP) 的 frame-src 指令指定了使用諸如 <frame><iframe> 等元素載入巢狀瀏覽上下文的有效來源。

注意:frame-src 允許您指定頁面中 iframe 可以從哪裡載入。這與 frame-ancestors 不同,後者允許您指定哪個父級來源可以嵌入頁面。

CSP 版本 1
指令型別 獲取指令
回退 如果此指令不存在,使用者代理將查詢 child-src 指令(該指令回退到 default-src 指令)。

語法

可以為 frame-src 策略允許一個或多個來源

http
Content-Security-Policy: frame-src <source>;
Content-Security-Policy: frame-src <source> <source>;

來源

<source> 可以是 CSP 來源值 中列出的任何一個值。

請注意,這同一組值可以在所有 獲取指令(以及 其他一些指令)中使用。

示例

違規情況

給定此 CSP 標頭

http
Content-Security-Policy: frame-src https://example.com/

以下 <iframe> 將被阻止,並且不會載入

html
<iframe src="https://not-example.com/"></iframe>

規範

規範
內容安全策略級別 3
# directive-frame-src

瀏覽器相容性

BCD 表格僅在瀏覽器中載入

另請參閱