Documentação técnica da CarameloSec: Checker 20 (CSP Frame-Src Value)

Descrição

A regra do “O que eu posso exibir na minha tela?”. Define quais sites podem ser carregados dentro de iframes no seu site.

Importância

Diferente do frame-ancestors (que controla quem te clona), o frame-src controla o que você exibe. Impede que, caso seu site sofra uma injeção de código, o atacante carregue uma página de phishing (como uma tela de login falsa) dentro de um iframe na sua página, enganando seus usuários.

Requisitos de Sucesso

• O parâmetro frame-src deve estar presente, ou deve existir um default-src seguro ('none' ou 'self') que sirva de fallback.
• Valores aceitos: 'none' (nenhum iframe permitido — recomendado se o site não usa iframes), 'self', ou URLs HTTPS específicas dos sites que precisam ser embutidos (ex.: https://www.google.com para Google Maps, https://www.youtube.com para vídeos do YouTube).
• O valor * (qualquer iframe) é proibido.

Cenários de Teste

Cenário Aprovado: Nenhum iframe permitido (recomendado para sites que não usam conteúdo embutido):

HTTP/1.1 200 OK
Content-Security-Policy: frame-src 'none';
Content-Type: text/html; charset=UTF-8

Cenário Aprovado: Permite apenas Google Maps (whitelist explícita):

HTTP/1.1 200 OK
Content-Security-Policy: frame-src https://www.google.com;
Content-Type: text/html; charset=UTF-8

Cenário Aprovado: Sem frame-src, mas com default-src seguro como fallback:

HTTP/1.1 200 OK
Content-Security-Policy: default-src 'self';
Content-Type: text/html; charset=UTF-8

Cenário Reprovado: Permite iframes de qualquer origem (atacante pode embutir páginas de phishing na sua página):

HTTP/1.1 200 OK
Content-Security-Policy: frame-src *;
Content-Type: text/html; charset=UTF-8