HTTP CSP fenced-frame-src Directive

Die Content-Security-Policy fenced-frame-src Direktive kontrolliert die Quellen für Fenced Frames, ein neues Web-Plattform-Feature für stark isolierte eingebettete Kontexte. Fenced Frames werden von Privacy Sandbox APIs wie FLEDGE für datenschutzkonforme Werbung ohne Cross-Site-Tracking verwendet.

Typ

CSP Fetch-Direktive

Syntax

Die Direktive akzeptiert eine Whitelist vertrauenswürdiger Quellen für Fenced Frame Inhalte.

http 
Content-Security-Policy: fenced-frame-src 'self'
Content-Security-Policy: fenced-frame-src https://ads.example.com

Direktiven

Die fenced-frame-src Direktive verwendet Standard-CSP-Quellausdrücke zur Kontrolle erlaubter Frame-Quellen.

'none'
Verbietet alle Fenced Frames. Standard für Anwendungen ohne Privacy Sandbox Integration.
'self'
Erlaubt Fenced Frames nur vom gleichen Origin. Eingeschränkte Nutzung da Fenced Frames primär für Third-Party-Content designed sind.
https://ads.example.com
Domain-Whitelisting. Erlaubt Fenced Frames von spezifischen vertrauenswürdigen Ad-Tech-Providern.
*
Erlaubt Fenced Frames von allen Quellen. Nur für Testing, nicht für Production empfohlen.
Fallback
Falls fenced-frame-src nicht gesetzt ist, greift frame-src als Fallback. Falls frame-src auch nicht gesetzt ist, greift default-src.

Beispiele

Nachfolgend finden Sie praktische Anwendungsbeispiele für die fenced-frame-src Direktive.

Beispiel 1 Publisher mit FLEDGE Ads

http 
HTTP/1.1 200 OK
Content-Security-Policy: fenced-frame-src https://adtech.example.com; frame-src 'self'

<!DOCTYPE html>
<html>
<body>
  <fencedframe src="https://adtech.example.com/ad?auction=123"></fencedframe>
  <!-- Erlaubt: Ad-Tech Provider in Whitelist -->

  <iframe src="/content/article.html"></iframe>
  <!-- Erlaubt durch frame-src -->
</body>
</html>

Separate Kontrolle für Fenced Frames und reguläre iframes ermöglicht präzise Privacy-Sandbox-Integration.

Beispiel 2 Strikte Isolation ohne Fenced Frames

http 
Content-Security-Policy: fenced-frame-src 'none'; frame-src 'self'; default-src 'self'

<fencedframe src="https://ads.example.com/banner"></fencedframe>
<!-- Blockiert: fenced-frame-src 'none' -->

<iframe src="/widget.html"></iframe>
<!-- Erlaubt: frame-src 'self' -->

Beispiel 3 Multi-Provider Ad Network

http 
Content-Security-Policy: fenced-frame-src https://provider-a.com https://provider-b.com https://dsp.example.net; default-src 'self'

<script>
  const frame = document.createElement('fencedframe');
  frame.src = 'https://provider-a.com/creative?id=456';
  document.body.appendChild(frame);
  // Erlaubt: Provider in Whitelist

  const badFrame = document.createElement('fencedframe');
  badFrame.src = 'https://malicious.com/ad';
  document.body.appendChild(badFrame);
  // Blockiert: nicht in Whitelist
</script>

Fenced Frame Privacy Isolation Flow

CSP fenced-frame-src kontrolliert Privacy Sandbox Frames

Vorteile für die Systemarchitektur

  • Privacy-by-Design: Ermöglicht sichere Integration von Privacy Sandbox APIs mit strikter Quellkontrolle für datenschutzkonforme Werbung
  • Third-Party-Isolation: Kontrolliert stark isolierte Frames die keinen Zugriff auf Parent-Context haben für maximale Sicherheit
  • Future-Proof-Architecture: Vorbereitung auf cookieless Web mit expliziter Kontrolle für neue Privacy-preserving-Features

Spezifikation

Fenced Frame – WICG Draft Specification https://wicg.github.io/fenced-frame/

Weitere Spezifikationen

CSP frame-src Directive, Content-Security-Policy Header