CSP Frame-Src Value
Checker ID: #20
v1.0.0-alpha
CSP Frame-Src Value
Descrição
A regra do "O que eu posso assistir na minha TV?". Define quais sites você pode carregar dentro de iframes no seu site.
Importância
Diferente do frame-ancestors (que controla quem te clona), o frame-src controla o que você exibe. Impede que, caso seu site sofra uma injeção de código, o atacante carregue um site de phishing (como uma tela de login falsa) dentro de um quadro na sua página.
Requisitos de Sucesso
• Liste explicitamente o que você precisa embedar (ex: Google Maps, Vídeos do Youtube).
• Se não usar iframes, use 'none'.
Cenários de Teste
Cenário Aprovado: Nenhum iframe permitido:
HTTP/1.1 200 OK
Content-Security-Policy: frame-src 'none';
Content-Type: text/html; charset=UTF-8
Cenário Aprovado: Permite apenas Google Maps (HTTPS):
HTTP/1.1 200 OK
Content-Security-Policy: frame-src https://www.google.com;
Content-Type: text/html; charset=UTF-8
Cenário Reprovado: Permite qualquer iframe:
HTTP/1.1 200 OK
Content-Security-Policy: frame-src *;
Content-Type: text/html; charset=UTF-8