CSP Frame-Ancestors Value
Checker ID: #10
CSP Frame-Ancestors Value
A regra do "Quem pode me colocar numa moldura?". Define quais sites podem exibir o seu site dentro de um <iframe>.
Previne ataques de Clickjacking (roubo de cliques). Se você tem parceiros ou portais que precisam exibir seu site, você deve autorizá-los explicitamente. Se não tem, bloqueie tudo.
• O parâmetro frame-ancestors deve ser 'none' (ninguém), 'self' (eu mesmo) ou uma lista de domínios confiáveis.
• O valor * (liberou geral) continua proibido.
HTTP/1.1 200 OK
Content-Security-Policy: frame-ancestors 'none';
Content-Type: text/html; charset=UTF-8HTTP/1.1 200 OK
Content-Security-Policy: frame-ancestors 'self' https://portal-parceiro.com;
Content-Type: text/html; charset=UTF-8HTTP/1.1 200 OK
Content-Security-Policy: frame-ancestors *;
Content-Type: text/html; charset=UTF-8CSP Frame-Ancestors Value
Essa é a regra do “não me clone”, que impede que outros sites exibam uma cópia da sua aplicação dentro de uma janela (iframe).
Isso evita o Clickjacking. Um site malicioso coloca o seu site num fundo transparente e põe um botão "Ganhe um Prêmio" por cima do seu botão "Deletar Conta". O usuário clica achando que é o prêmio, mas está clicando no seu site.
• O cabeçalho Content-Security-Policy deve conter o parâmetro frame-ancestors com o valor igual a 'none', ou seja, ninguém pode te “clonar” e colocar em uma janelinha (nem você mesmo).
Content-Security-Policy: frame-ancestors 'none';Content-Security-Policy: frame-ancestors *;Content-Security-Policy: frame-ancestors 'self';