1. Web
  2. HTTP
  3. Reference
  4. Headers
  5. Content-Security-Policy
  6. frame-ancestors

Content-Security-Policy: frame-ancestors directive

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since January 2018.

Chỉ thị frame-ancestors trong HTTP Content-Security-Policy (CSP) chỉ định các phần tử cha hợp lệ có thể nhúng một trang bằng <frame>, <iframe>, <object>, hoặc <embed>.

Đặt chỉ thị này thành 'none' tương tự như X-Frame-Options: deny (cũng được hỗ trợ trong các trình duyệt cũ hơn).

Note: frame-ancestors cho phép bạn chỉ định nguồn cha nào có thể nhúng một trang. Điều này khác với frame-src, cho phép bạn chỉ định nơi các iframe trong một trang có thể được tải từ đâu.

Note: Chỉ thị frame-ancestors kiểm tra từng tổ tiên. Nếu bất kỳ tổ tiên nào không khớp thì tải bị hủy. Do đó tất cả các tổ tiên phải được cho phép bởi chỉ thị frame-ancestors của các frame lá khi sử dụng các frame lồng nhau.

Phiên bản CSP 2
Loại chỉ thị Navigation directive
Dự phòng default-src Không. Nếu không đặt chỉ thị này thì bất kỳ điều gì cũng được phép.
Chỉ thị này không được hỗ trợ trong phần tử <meta>.

Cú pháp

http
Content-Security-Policy: frame-ancestors 'none';
Content-Security-Policy: frame-ancestors <source-expression-list>;

Chỉ thị này có thể nhận một trong các giá trị sau:

'none'

Tài nguyên này không thể được nhúng. Dấu nháy đơn là bắt buộc.

<source-expression-list>

Danh sách các giá trị biểu thức nguồn phân cách bằng khoảng trắng. Tài nguyên này có thể được nhúng nếu người nhúng khớp với bất kỳ biểu thức nguồn nào. Đối với chỉ thị này, các giá trị biểu thức nguồn sau đây có thể áp dụng:

Note: Cú pháp của chỉ thị frame-ancestors tương tự như cú pháp danh sách nguồn được chấp nhận bởi các chỉ thị khác (ví dụ: child-src), nhưng nó không dự phòng sang cài đặt default-src. Một chính sách khai báo default-src 'none' vẫn cho phép tài nguyên được nhúng bởi bất kỳ ai.

Ví dụ

http
Content-Security-Policy: frame-ancestors 'none';

Content-Security-Policy: frame-ancestors 'self' https://www.example.org;

Content-Security-Policy: frame-ancestors 'self' https://example.org https://example.com https://store.example.com;

Thông số kỹ thuật

Specification
Content Security Policy Level 3
# directive-frame-ancestors

Khả năng tương thích trình duyệt

Xem thêm

Help improve MDN

Learn how to contribute

This page was last modified on by MDN contributors.

View this page on GitHubReport a problem with this content