default-src, frame-ancestors и frame-src являются частью заголовка ответа Content-Security-Policy .
рамка-Src
Ограничивает, какие домены страница может загружать в iframe.
Директива frame-src HTTP Content-Security-Policy (CSP) определяет допустимые источники для загрузки вложенных контекстов просмотра с использованием таких элементов, как <frame> и <iframe>.
Например: Если веб-сайт по адресу https://example.com имеет заголовок ответа Content-Security-Policy: frame-src 'self', он может загружать только https://example.com внутри фреймов.
каркасные предки
Ограничивает домены, в которые страница может быть загружена из iframe (аналогично X-Frame-Options заголовку, , но имеет приоритет над ним ).
Директива frame-ancestors HTTP Content-Security-Policy (CSP) указывает допустимых родителей, которые могут встраивать страницу, используя <frame>, <iframe>, <object>, <embed> или <applet>.
Например: Если веб-сайт по адресу https://example.com имеет заголовок ответа Content-Security-Policy: frame-ancestors 'self', он может быть загружен только внутри фреймов из https://example.com.
по умолчанию-Src
Действует как значение по умолчанию для любой директивы, которая не установлена явно
Директива default-src HTTP Content-Security-Policy (CSP) служит резервным вариантом для других директив выборки CSP. Для каждой из следующих директив, которые отсутствуют, пользовательский агент будет искать директиву default-src и будет использовать это значение для нее.
Например: Content-Security-Policy: default-src 'self' по умолчанию будет иметь значение 'self' для всех директив.