frame-src和frame-ancestors到底做什么?定义表明目的是为两个指令定义框架的有效内容。 什么时候使用哪个。我能够在iframe中加载外部域内容 使用-
都可以使用,但无法获得正确的用例。
答案 0 :(得分:3)
default-src,frame-ancestors和frame-src都是Content-Security-Policy response header的一部分。
限制页面可以在iframe中加载的域。
HTTP内容安全性策略(CSP)frame-src指令使用
<frame>和<iframe>之类的元素为嵌套浏览上下文加载指定有效的来源。
例如:如果位于https://example.com的网站的响应标头为Content-Security-Policy: frame-src 'self',则只能在iframe中加载https://example.com。
限制可以从iframe加载页面的域(类似于X-Frame-Options标头but takes precedence over it)。
HTTP内容安全性策略(CSP)框架祖先指令指定了有效的父项,可以使用
<frame>,<iframe>,<object>,<embed>,或<applet>。
例如:如果位于https://example.com的网站的响应标头为Content-Security-Policy: frame-ancestors 'self',则只能从{{ 1}}。
充当未明确设置的任何指令的默认值
HTTP内容安全性策略(CSP)default-src指令用作其他CSP提取指令的后备。对于以下缺少的每个伪指令,用户代理将查找default-src伪指令并将其使用此值。
例如:对于所有指令,https://example.com的默认值为Content-Security-Policy: default-src 'self'。