內容安全策略(Content-Security-Policy):frame-src 指令
HTTP Content-Security-Policy (CSP) frame-src 指令指定了使用 <frame> 和 <iframe> 等元素載入的巢狀瀏覽上下文的有效源。
注意: frame-src 允許你指定頁面中的 iframe 可以從何處載入。這與 frame-ancestors 不同,後者允許你指定哪個父源可以嵌入頁面。
| CSP 版本 | 1 |
|---|---|
| 指令型別 | 獲取指令 |
| 回退 | 如果此指令缺失,使用者代理將查詢 child-src 指令(該指令會回退到 default-src 指令)。 |
語法
http
Content-Security-Policy: frame-src 'none';
Content-Security-Policy: frame-src <source-expression-list>;
此指令可以具有以下值之一
'none'-
不允許載入此型別的任何資源。單引號是強制性的。
<source-expression-list>-
一個由源表示式值組成的空格分隔列表。如果資源型別與任何給定的源表示式匹配,則可以載入此類資源。對於此指令,以下源表示式值適用:
示例
違規情況
給定此 CSP 頭
http
Content-Security-Policy: frame-src https://example.com/
以下 <iframe> 被阻止,無法載入
html
<iframe src="https://not-example.com/"></iframe>
規範
| 規範 |
|---|
| 內容安全策略級別 3 # 指令-frame-src |
瀏覽器相容性
載入中…