Content-Security-Policy: child-src 指令

Baseline 已廣泛支援

該特性已非常成熟，可在多種裝置和瀏覽器版本上使用。自 2017 年 4 月以來，它已在各大瀏覽器上可用。

HTTP Content-Security-Policy (CSP) child-src 指令定義了 Web worker 和使用 <frame> 和 <iframe> 等元素載入的巢狀瀏覽上下文的有效源。對於 worker，不合規的請求會被使用者代理視為致命網路錯誤。

CSP 版本	2
指令型別	獲取指令
`default-src` 回退	是的。如果此指令缺失，使用者代理將查詢 `default-src` 指令。

語法

http

Content-Security-Policy: child-src 'none';
Content-Security-Policy: child-src <source-expression-list>;

此指令可以具有以下值之一

不允許載入此型別的任何資源。單引號是強制性的。

一個由源表示式值組成的空格分隔列表。如果資源型別與任何給定的源表示式匹配，則可以載入此類資源。對於此指令，以下源表示式值適用：

給定此 CSP 頭

http

Content-Security-Policy: child-src https://example.com/

此 <iframe> 和 worker 被阻止，無法載入

html

<iframe src="https://not-example.com"></iframe>

<script>
  const blockedWorker = new Worker("data:text/javascript,…");
</script>

規範
內容安全策略級別 3 # 指令-child-src

此頁面最後由MDN 貢獻者於2025 年 7 月 4 日修改。