Firefoxやその他のブラウザーでframe-srcとchild-srcを使用する方法は?
コンテンツセキュリティポリシーディレクティブのMDNページ は、frame-srcが廃止され、child-srcを使用する必要があることを示しています。ただし、child-srcを使用しようとすると、Firefox 37で次のエラーメッセージが表示されます
Content Security Policy: Couldn't process unknown directive 'child-src' <unknown>
この明らかなサポートの欠如は文書化されておらず(私が知る限り)、イライラさせられます。ブラウザのサポートが文書化されている場所はありますか?
現在、child-srcに加えてframe-srcを使用していますが、これは動作しているようです。しかし、私は今、2つの間に対立の可能性があるかどうか疑問に思っています。おそらく、src-srcは、child-srcをサポートするブラウザでは無視されますか?保証されていますか?
更新:2017年1月:
child-srcの使用を停止し、frame-srcの使用を再開してください。
さらに混乱を招くために、CSPレベル3には非推奨のframe-srcがあり、実際にこれを実現する好ましい方法として再指定しました。 child-srcは引き続きサポートされますが、frame-srcが再び推奨されます。
古い投稿
frame-srcisは非推奨ですが、CSPレベル2で最近作成されたため、すべてのブラウザが最新バージョンの仕様に対応しているわけではありません。
ブラウザの互換性を最大限にするための現時点での最善のアプローチは、child-srcとframe-srcの両方に同じ値を含めることです。元のCSP仕様のみをサポートするブラウザはframe-srcを使用しますが、新しいブラウザはchild-srcを使用します。
開発者コンソールの警告は重要ではなく、単なる情報です。今から1年は無視することをお勧めします。1年後にはframe-srcが非推奨であると言っているのがよくわかるでしょう。
現時点では、必要な場合は両方を使用し、2017年1月にframe-srcの提供を停止する予定です。
CSPレベル2サポート: