frame-src
Content-Security-Policy Fetch

개요

frame-src 는 <iframe>·<frame> 으로 임베드할 수 있는 문서의 출처를 제어합니다. 즉 '내 페이지 안에 어떤 사이트를 넣을 수 있는가'를 통제합니다. 미지정 시 child-src 로, child-src 도 없으면 default-src 로 폴백합니다.

자세히

YouTube 임베드(https://www.youtube.com), 결제 위젯, 지도, 광고 iframe 등 신뢰하는 임베드 대상을 화이트리스트로 지정합니다. frame-src 를 좁게 유지하면 악성 iframe 삽입(피싱·클릭재킹 유도·드라이브바이 로딩)을 차단할 수 있습니다.

혼동하기 쉬운 점: frame-src 는 '내가 남을 프레임에 넣는' 방향(embed)을 통제하고, 반대로 frame-ancestors 는 '남이 나를 프레임에 넣는' 방향(be embedded)을 통제합니다. 두 지시어는 방향이 정반대이므로 클릭재킹 방어는 frame-ancestors 로, 임베드 허용 목록은 frame-src 로 관리해야 합니다. 과거 frame-src 를 대체하려던 child-src 는 사실상 재분리되어, 지금은 iframe=frame-src, 워커=worker-src 로 나뉘었습니다.

문법

Content-Security-Policy: frame-src 'self' https://www.youtube.com https://player.vimeo.com

실무 참고

관련 지시어