Hilfe-Center
Hier können frei definierte Domains angegeben werden, die die Seite gemäß CSP-Header von außen einbetten dürfen. Soll eine Seite also z. B. nur im Google-Übersetzer eingebettet werden dürfen, sonst aber nirgendwo, wäre "translate.google.com" einzutragen.
Der Wert wird in "frame-ancestors" des CSP-Headers übertragen, man beachte aber den Hinweis unten!
Zu beachten ist auch, dass der Text nicht validiert wird, unsinnige Angaben können dazu führen, dass der Header nicht richtig greift.
Angegeben werden können verschiedene Domains mit Leerzeichen getrennt nach dem Muster http(s)://mydomain.com oder ohne Protokoll mydomain.com.
Greift nur, wenn der CSP-Header generell eingeschaltet
Achtung! Was diese Einstellung genau setzt, ist auch abhängig vom eingestellten Wert in X-Frame-Options, da dieser die gleiche Funktionalität regelt, nur eingeschränkt.
Steht X-Frame-Options auf "deny" wird der Wert dieser Einstellung ignoriert.
Steht X-Frame-Options auf "nicht setzen" wird 1:1 der Wert dieser Einstellung verwendet. Es sei denn er ist leer, dann wird alles mittels "*" erlaubt.
Steht X-Frame-Options auf "SAMEORIGIN" wird zusätzlich 'self' in den frame-ancestors-Wert geschrieben, d.h. die Domain darf sich selbst einbetten. Dies geschieht auch bei jeglicher Einstellung immer im EditMode, da dieser sonst nicht pflegbar wäre.