Content-Security-Policy: frame-ancestors Direktive
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since January 2018.
Die HTTP-Content-Security-Policy (CSP) frame-ancestors-Direktive gibt gültige übergeordnete Quellen an, die eine Seite mithilfe von <frame>, <iframe>, <object> oder <embed> einbetten dürfen.
Das Setzen dieser Direktive auf 'none' ist ähnlich wie X-Frame-Options: deny (was auch in älteren Browsern unterstützt wird).
Hinweis:>frame-ancestors ermöglicht Ihnen, anzugeben, welche übergeordnete Quelle eine Seite einbetten darf.
Dies unterscheidet sich von frame-src, das erlaubt, festzulegen, woher iframes in einer Seite geladen werden dürfen.
| CSP-Version | 2 |
|---|---|
| Direktivtyp | Navigationsrichtlinie |
default-src Fallback |
Nein. Wenn dies nicht festgelegt ist, ist alles erlaubt. |
Diese Direktive wird im <meta>
Element nicht unterstützt.
|
|
Syntax
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors <source-expression-list>;
Diese Direktive kann einen der folgenden Werte haben:
'none'-
Diese Ressource darf nicht eingebettet werden. Die einfachen Anführungszeichen sind zwingend erforderlich.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Quellversionswerten. Diese Ressource darf eingebettet werden, wenn die einbettende Quelle mit einem der angegebenen Quellversionen übereinstimmt. Für diese Direktive sind die folgenden Quellversionswerte anwendbar:
Hinweis:
Die Syntax der frame-ancestors-Direktive ist ähnlich wie die Syntax der Quellenliste, die von anderen Direktiven akzeptiert wird (z. B. child-src), fällt jedoch nicht auf die default-src-Einstellung zurück. Eine Richtlinie, die default-src 'none' deklariert, erlaubt es dennoch, dass die Ressource von jedem eingebettet wird.
Beispiele
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors 'self' https://www.example.org;
Content-Security-Policy: frame-ancestors 'self' https://example.org https://example.com https://store.example.com;
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-frame-ancestors |