Content-Security-Policy: frame-ancestors Richtlinie
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since January 2018.
Die HTTP Content-Security-Policy (CSP) frame-ancestors Richtlinie gibt gültige Eltern an, die eine Seite mit <frame>, <iframe>, <object> oder <embed> einbetten dürfen.
Diese Richtlinie auf 'none' zu setzen, ist ähnlich wie X-Frame-Options: deny (was auch in älteren Browsern unterstützt wird).
Hinweis: frame-ancestors erlaubt es Ihnen anzugeben, welche übergeordneten Quellen eine Seite einbetten dürfen.
Dies unterscheidet sich von frame-src, das Ihnen erlaubt, anzugeben, woher iframes in einer Seite geladen werden dürfen.
| CSP-Version | 2 |
|---|---|
| Richtlinientyp | Navigationsrichtlinie |
default-src Rückfall |
Nein. Wenn dies nicht gesetzt ist, ist alles erlaubt. |
Diese Richtlinie wird im <meta>
Element nicht unterstützt.
|
|
Syntax
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors <source-expression-list>;
Diese Richtlinie kann einen der folgenden Werte haben:
'none'-
Diese Ressource darf nicht eingebettet werden. Die einfachen Anführungszeichen sind obligatorisch.
<source-expression-list>-
Eine durch Leerzeichen getrennte Liste von Quellenausdrückswerten. Diese Ressource darf eingebettet werden, wenn der Einbettende mit einem der angegebenen Quellenausdrücke übereinstimmt. Für diese Richtlinie sind folgende Quellenausdrückswerte anwendbar:
Hinweis:
Die Syntax der frame-ancestors Richtlinie ist ähnlich wie die Quelllisten-Syntax, die von anderen Richtlinien akzeptiert wird (z.B. child-src), aber sie fällt nicht auf die default-src Einstellung zurück. Eine Richtlinie, die default-src 'none' deklariert, erlaubt es dennoch, dass die Ressource von jedem eingebettet wird.
Beispiele
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors 'self' https://www.example.org;
Content-Security-Policy: frame-ancestors 'self' https://example.org https://example.com https://store.example.com;
Spezifikationen
| Specification |
|---|
| Content Security Policy Level 3 # directive-frame-ancestors |