frame-src 是网页安全策略 Content Security Policy(CSP) 中的一条指令,用来规定页面可以从哪些来源加载并显示在 <frame> / <iframe> 中的内容(也就是“框架里的页面”)。常用于减少恶意嵌入、数据泄露等风险。(在不同 CSP 版本/实现中,它与 child-src 的关系也常被一起讨论;有些情况下 frame-src 更专门针对框架内容。)
/ˈfreɪm ˌɛs ɑːr ˈsiː/
Set frame-src to 'self' to allow only same-origin iframes.
将 frame-src 设为 'self',只允许同源的 iframe。
In a strict CSP, we limited frame-src to trusted domains to prevent third-party widgets from embedding unreviewed content.
在严格的 CSP 中,我们把 frame-src 限制为受信任域名,以防第三方组件嵌入未经审核的内容。
这是一个由两部分组成的技术术语:frame(框架/嵌入页) + src(source 的缩写,表示“来源/资源地址”)。它来自 W3C/WHATWG 等制定的 CSP 规范,用于用“白名单式”的方式约束浏览器能加载哪些嵌入内容。
frame-src 的定义与用法)
Select Language