Puoi impostare una politica di sicurezza del contenuto intestazione con la direttiva child-src
.
Ad esempio, questo consentirà solo il contenuto fotogramma dello stesso dominio:
Content-Security-Policy: child-src 'self'
Invece di 'self'
puoi anche specificare una particolare origine.
Qui è una semplice demo (il meta tag è usato per simulare l'intestazione). Dovrebbe essere caricato solo il primo frame:
<meta http-equiv="Content-Security-Policy" content="child-src http://example.com/">
<iframe src="http://example.com/"></iframe><iframesrc="http://example.org/"></iframe>
Nota che questo funziona in Firefox e Chrome, ma non è supportato in IE / Edge .