1. Web
  2. HTTP
  3. Reference
  4. Headers
  5. Content-Security-Policy
  6. frame-ancestors

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

Content-Security-Policy: frame-ancestors Direktive

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since ⁨Januar 2018⁩.

Die HTTP Content-Security-Policy (CSP) frame-ancestors Direktive gibt gültige Eltern an, die eine Seite mithilfe von <frame>, <iframe>, <object> oder <embed> einbetten dürfen.

Wenn diese Direktive auf 'none' gesetzt wird, ist dies ähnlich wie X-Frame-Options: deny (das auch in älteren Browsern unterstützt wird).

Hinweis: frame-ancestors erlaubt es Ihnen, anzugeben, welche übergeordnete Quelle eine Seite einbetten darf. Dies unterscheidet sich von frame-src, das erlaubt anzugeben, von wo iframes auf einer Seite geladen werden dürfen.

Hinweis: Die frame-ancestors-Direktive überprüft jedes Vorfahren-Element. Wenn ein Vorfahr nicht übereinstimmt, wird das Laden abgebrochen. Daher sollten alle Vorfahren von den frame-ancestors-Direktiven der End-Frames erlaubt sein, wenn verschachtelte Frames verwendet werden.

CSP-Version 2
Direktivtyp Navigationsdirektive
default-src Fallback Nein. Wird dies nicht eingestellt, erlaubt es alles.
Diese Direktive wird im <meta> Element nicht unterstützt.

Syntax

http
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors <source-expression-list>;

Diese Direktive kann einen der folgenden Werte haben:

'none'

Diese Ressource darf nicht eingebettet werden. Die einfachen Anführungszeichen sind obligatorisch.

<source-expression-list>

Eine durch Leerzeichen getrennte Liste von Quelle-Ausdrucks-Werten. Diese Ressource darf eingebettet werden, wenn der Einbettende mit einem der angegebenen Quellen-Ausdrücke übereinstimmt. Für diese Direktive sind die folgenden Quellen-Ausdrucks-Werte anwendbar:

Hinweis: Die Syntax der frame-ancestors Direktive ist ähnlich der Quellenlisten-Syntax, die von anderen Direktiven akzeptiert wird (z.B. child-src), aber sie fällt nicht auf die default-src Einstellung zurück. Eine Richtlinie, die default-src 'none' erklärt, erlaubt es immer noch, dass die Ressource von jedem eingebettet wird.

Beispiele

http
Content-Security-Policy: frame-ancestors 'none';

Content-Security-Policy: frame-ancestors 'self' https://www.example.org;

Content-Security-Policy: frame-ancestors 'self' https://example.org https://example.com https://store.example.com;

Spezifikationen

Specification
Content Security Policy Level 3
# directive-frame-ancestors

Browser-Kompatibilität

Siehe auch

Help improve MDN

Learn how to contribute Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden