CSP: frame-ancestors
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since January 2018.
Die HTTP-Content-Security-Policy (CSP) frame-ancestors Direktive gibt gültige Eltern an, die eine Seite unter Verwendung von <frame>, <iframe>, <object> oder <embed> einbetten dürfen.
Das Setzen dieser Direktive auf 'none' ist ähnlich wie X-Frame-Options: deny (was auch in älteren Browsern unterstützt wird).
Hinweis: frame-ancestors ermöglicht es Ihnen anzugeben, welche übergeordnete Quelle eine Seite einbetten darf. Dies unterscheidet sich von frame-src, welches erlaubt anzugeben, von wo iframes innerhalb einer Seite geladen werden dürfen.
| CSP-Version | 2 |
|---|---|
| Directive-Typ | Navigationsdirektive |
default-src Fallback |
Nein. Wenn nicht gesetzt, ist alles erlaubt. |
Diese Direktive wird im <meta>
Element nicht unterstützt.
|
|
Syntax
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'-
Diese Ressource darf nicht eingebettet werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von source expression Werten. Diese Ressource darf eingebettet werden, wenn der Einbettende mit einem der angegebenen source expressions übereinstimmt. Für diese Direktive sind die folgenden source expression Werte anwendbar:
Hinweis:
Die Syntax der frame-ancestors Direktive ist ähnlich der Syntax der Quellliste, die von anderen Direktiven akzeptiert wird (z.B. child-src), aber sie fällt nicht auf die default-src Einstellung zurück. Eine Richtlinie, die default-src 'none' deklariert, erlaubt es trotzdem, dass die Ressource von jedem eingebettet wird.
Beispiele
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors 'self' https://www.example.org;
Content-Security-Policy: frame-ancestors 'self' https://example.org https://example.com https://store.example.com;
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-frame-ancestors |