El HTTP Content-Security-Policy (CSP) frame-src La directiva especifica fuentes válidas para contextos de navegación anidados que se cargan usando elementos como <frame> y <iframe>.

Versión CSP 1
Tipo de directiva Obtener directiva
Retroceder Si esta directiva está ausente, el agente de usuario buscará el child-src directiva (que se remonta a la default-src directiva).

Sintaxis

Se pueden permitir una o más fuentes para frame-src política:

Content-Security-Policy: frame-src <source>;
Content-Security-Policy: frame-src <source> <source>;

Fuentes

puede ser uno de los siguientes:

Hosts de Internet por nombre o dirección IP, así como una opción Esquema de URL y / o número de puerto. La dirección del sitio puede incluir un comodín inicial opcional (el carácter de asterisco, '*'), y puede utilizar un comodín (de nuevo, '*') como número de puerto, lo que indica que todos los puertos legales son válidos para la fuente.
Ejemplos:

  • http://*.example.com: Coincide con todos los intentos de carga desde cualquier subdominio de example.com utilizando el http: Esquema de URL.
  • mail.example.com:443: Coincide con todos los intentos de acceder al puerto 443 en mail.example.com.
  • https://store.example.com: Coincide con todos los intentos de acceder a store.example.com utilizando https:.
  • *.example.com: Coincide con todos los intentos de carga desde cualquier subdominio de example.com utilizando el protocolo actual.
Un esquema como http: o https:. Se requiere el colon. A diferencia de otros valores a continuación, no se deben usar comillas simples. También puede especificar esquemas de datos (no recomendado).

  • data: Permite data: URI que se utilizarán como fuente de contenido. Esto es inseguro; un atacante también puede inyectar datos arbitrarios: URI. Use esto con moderación y definitivamente no para scripts.
  • mediastream: Permite mediastream: URI para ser utilizado como fuente de contenido.
  • blob: Permite blob: URI para ser utilizado como fuente de contenido.
  • filesystem: Permite filesystem: URI para ser utilizado como fuente de contenido.
'self'
Hace referencia al origen desde el que se envía el documento protegido, incluido el mismo esquema de URL y número de puerto. Debe incluir las comillas simples. Algunos navegadores excluyen específicamente blob y filesystem de las directivas de origen. Los sitios que necesiten permitir estos tipos de contenido pueden especificarlos mediante el atributo Datos.
'unsafe-eval'
Permite el uso de eval() y métodos similares para crear código a partir de cadenas. Debe incluir las comillas simples.
'unsafe-hashes'
Permite habilitar en línea específicos controladores de eventos. Si solo necesita permitir controladores de eventos en línea y no en línea <script> elementos o javascript: URL, este es un método más seguro que usar la unsafe-inline expresión.
'unsafe-inline'
Permite el uso de recursos en línea, como en línea <script> elementos, javascript: URL, controladores de eventos en línea y en línea <style> elementos. Las comillas simples son obligatorias.
'none'
Se refiere al conjunto vacío; es decir, ninguna URL coincide. Las comillas simples son obligatorias.
‘mientras tanto-
Una lista de permitidos para scripts en línea específicos usando un nonce criptográfico (número usado una vez). El servidor debe generar un valor nonce único cada vez que transmite una política. Es fundamental proporcionar un nonce imposible de adivinar, ya que omitir la política de un recurso es trivial. Consulte la secuencia de comandos insegura en línea para ver un ejemplo. Especificar nonce hace que un navegador moderno ignore 'unsafe-inline' que aún podría configurarse para navegadores más antiguos sin soporte para nonce.
Un hash sha256, sha384 o sha512 de scripts o estilos. El uso de esta fuente consta de dos partes separadas por un guión: el algoritmo de cifrado utilizado para crear el hash y el hash codificado en base64 del script o estilo. Al generar el hash, no incluya el