问帧的内容安全策略。帧-src对帧-祖先

EN

default-src、frame-ancestors和frame-src都是内容-安全性-策略响应头的一部分。

帧src

限制可以在iframe中加载哪些域和页面。

(CSP) frame-src指令指定了使用<frame>和<iframe>等元素加载嵌套浏览上下文的有效源。

例如，：，如果https://example.com的网站有一个Content-Security-Policy: frame-src 'self'的响应头，它只能在iframes中加载https://example.com。

框架-祖先

限制可以从iframe加载哪些域和页面(类似于X-Frame-Options头，但比它更重要)。

(CSP) frame-ancestors指令指定可以使用<frame>、<iframe>、<object>、<embed>或<applet>嵌入页面的有效父级。

例如，：--如果https://example.com的网站有Content-Security-Policy: frame-ancestors 'self'的响应头，则只能从https://example.com加载到iframes中。

默认-src

充当未显式设置的任何提取指令的默认值(以下是所有获取指令的列表)

( CSP ) default-src指令作为其他CSP获取指令的后盾。对于以下每个缺少的指令，用户代理将查找default-src指令，并将对其使用此值。

例如，： Content-Security-Policy: default-src 'self'将默认为所有fetch指令的'self'值。其他指令将不受影响。

注意:由于frame-ancestors不是fetch指令，设置default-src不会限制它。它需要单独设置。