Puede establecer una Content-Security-Policy encabezado con la directiva child-src
.
Por ejemplo, esto solo permitirá contenido de cuadros desde el mismo dominio:
Content-Security-Policy: child-src 'self'
En lugar de 'self'
, también puede especificar un origen particular.
Aquí es una simple demostración (la etiqueta meta se usa para simular el encabezado). Solo debe cargarse el primer cuadro:
<meta http-equiv="Content-Security-Policy" content="child-src http://example.com/">
<iframe src="http://example.com/"></iframe><iframesrc="http://example.org/"></iframe>
Tenga en cuenta que esto funciona en Firefox y Chrome pero no es compatible con IE / Edge .