La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) frame-src spécifie les sources valides pour des contextes de navigation imbriqués chargés d'éléments tels que {{HTMLElement("frame")}} et {{HTMLElement("iframe")}}.
| Version de CSP | 1 |
|---|---|
| Type de directive | {{Glossary("Fetch directive")}} |
| Valeur par défaut | Si cette directive est absente, l'agent utilisateur consultera la directive {{CSP("child-src")}}, qui a pour valeur par défaut celle de la directive {{CSP("default-src")}} |
Une ou plusieurs sources peuvent être autorisées pour cette directive :
Content-Security-Policy: frame-src <source>; Content-Security-Policy: frame-src <source> <source>;
{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}
Soit cet en-tête CSP :
Content-Security-Policy: frame-src https://example.com/
Cet élément {{HTMLElement("iframe")}} est bloqué et ne se chargera pas :
<iframe src="https://not-example.com/"></iframe>
| Spécification | Statut | Commentaire |
|---|---|---|
| {{specName("CSP 3.0", "#directive-frame-src", "frame-src")}} | {{Spec2('CSP 3.0')}} | Réappréciation de frame-src. |
| {{specName("CSP 1.1", "#directive-frame-src", "frame-src")}} | {{Spec2('CSP 1.1')}} | Dépréciation de frame-src. |
{{Compat("http.headers.csp.Content-Security-Policy.frame-src")}}