Content-Security-Policy: fenced-frame-src directive

Limited availability

This feature is not Baseline because it does not work in some of the most widely-used browsers.

Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig vor der Verwendung auf produktiven Webseiten.

Der HTTP-Header Content-Security-Policy (CSP) fenced-frame-src-Direktive spezifiziert gültige Quellen für verschachtelte Browsing-Kontexte, die in <fencedframe>-Elemente geladen werden.

CSP-Version	1
Direktivtyp	Fetch-Direktive
Fallback	Wenn diese Direktive fehlt, wird der User-Agent nach der `frame-src`-Direktive suchen (die als Fallback die `child-src`-Direktive hat).

Syntax

http

Content-Security-Policy: fenced-frame-src <source-expression-list>;

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von source expression-Werten. Ressourcen dieses Typs dürfen geladen werden, wenn sie mit einem der angegebenen source expressions übereinstimmen. Für diese Direktive sind die folgenden source expression Werte anwendbar:

Der <host-source>-Wert "https:"
Der <scheme-source>-Wert "https:"
Die Zeichenkette "*"

Beispiele

Verletzungsfälle

Gegeben dieser CSP-Header:

http

Content-Security-Policy: fenced-frame-src https://example.com/

Die folgenden Quellen werden in einem fenced frame nicht geladen:

https://not-example.com/ (Domain stimmt nicht überein)
https://example.org/ (TLD stimmt nicht überein)

Spezifikationen

Specification
Fenced Frame # new-csp-directive

Browser-Kompatibilität

Siehe auch

Help improve MDN

Learn how to contribute Diese Seite wurde automatisch aus dem Englischen übersetzt.

Übersetzung auf GitHub anzeigen • Fehler mit dieser Übersetzung melden