fenced-frame-srcfenced-frame-src 는 <fencedframe> 요소로 임베드할 수 있는 콘텐츠의 출처를 제어합니다. Fenced Frame 은 프라이버시 샌드박스(Privacy Sandbox)의 일부로, 임베드된 콘텐츠와 부모 페이지 간 통신을 강하게 차단하는 새로운 격리 임베드 방식입니다.
Fenced Frame 은 광고·개인화 콘텐츠를 부모 문서와 격리해 크로스 사이트 데이터 결합을 막기 위해 도입된 실험적 기능입니다. 일반 iframe 과 달리 부모-자식 간 postMessage·URL 관찰 등이 제한됩니다. fenced-frame-src 는 이 요소가 로드할 수 있는 URL 을 화이트리스트로 통제합니다. 특이하게 이 지시어는 https: 스킴 소스와 opaque(불투명) 소스만 허용하는 등 값 제약이 있어, 일부 키워드(예: 'unsafe-eval' 등 스크립트 계열)는 의미가 없습니다.
미지정 시 폴백 동작은 명세상 다른 프레임 계열과 다를 수 있고, 아직 표준·구현이 진화 중이므로 배포 정책에 넣기 전에 대상 브라우저 지원과 Fenced Frame API 사용 여부를 확인해야 합니다. Fenced Frame 을 쓰지 않는 일반 사이트라면 이 지시어를 선언할 필요가 없습니다.
Content-Security-Policy: fenced-frame-src https://ads.example.com