CSP: frame-ancestors

HTTP の Content-Security-Policy (CSP) である frame-ancestors ディレクティブは <frame>、 <iframe>、 <object> 、 <embed>、 <applet> などを使ってページを埋め込むことのできる親を指定します。

このディレクティブを 'none' にすることは、 X-Frame-Options: deny (これは古いブラウザーも同様に対応しています) を設定するのに似ています。

frame-ancestors ポリシーをこのように一つ以上セットできます。

Content-Security-Policy: frame-ancestors <source>;
Content-Security-Policy: frame-ancestors <source> <source>;

<source> は以下のうちのいずれかです。

<host-source>

スペースで区切られた、URL schemeやポート番号をふくむことができるIPアドレスや名前によるインターネットホスト名です。サイトのアドレスの前にワイルドカード (アスタリスク、 '*')を含めることができ、さらにすべてのポートがソースとして有効であることを示すためにポート番号としてワイルドカード ('*') を使うこともできます。ホスト名をシングルクオートで囲うことはできません。
例：

• http://*.example.com: http: のスキームを使用した、example.com のすべてのサブドメインからのすべての読み込みの試行に一致します。
• mail.example.com:443: mail.example.com の 443番ポートへのアクセスの試行に一致します。
• https://store.example.com: https: を使用した store.example.com へのアクセスの試行に一致します。

host-source にURLスキームが指定されておらず、 iframe が https URLから読み込まれている場合、 iframe を読み込んでいるページの URL も https でなければなりません。 W3C 仕様書の matching source expressions によるものです。

<scheme-source>

http: または https: のようなスキームです。コロンは必要です。以下の他の値とは異なり、単一引用符は使用しないでください。data スキームも指定することができます (非推奨)。

• data: コンテンツのソースとして data: の URI を使うことができるようにします。これは安全ではありません。攻撃者は任意の data: URI を挿入することもできます。使用は控え、スクリプトには絶対に使用しないでください。
• mediastream: mediastream: の URI をコンテンツのソースとして使用することができるようにします。
• blob: blob: の URI をコンテンツのソースとして使用することができるようにします。
• filesystem: filesystem: の URI をコンテンツのソースとして使用することができるようにします。

'self'

保護された文書が提供されたオリジンを、同じ URL スキームおよびポート番号で参照します。単一引用符が必要です。ブラウザーによっては source ディレクティブから blob および filesystem を独自に除外していることがあります。これらのコンテンツ種別を許可する必要があるサイトは、Data 属性を使用して指定することができます。

'none'

空のセットを参照します。つまり、一致する URL はありません。単一引用符が必要です。

Content-Security-Policy: frame-ancestors 'none';

Content-Security-Policy: frame-ancestors 'self' https://www.example.org;

• Content-Security-Policy
• X-Frame-Options