Hello,

Lieber Raketenwissenschaftler,

Aber aus gutem Grund längst nicht immer.

ein iFrame ist ein eigenes Tab/Fenster, auch wenn es in einer Seite angezeigt wird. Daher frage ich mich, inwiefern die CSP hier überhaupt Anwendung finden sollte. Was die Übertragung des Referers angeht, steht das für mich auf einem anderen Blatt.

Das ist ganz logisch:
Mittels iFrame und/oder JavaScript können fremde Inhalte referenziert werden. IDer Inhalt des iFrames wird also auf dem fremden Server bestimmt. Der kann daher auch bestimmen, ob die Sekundärrequests im iFrame mit oder ohne TLS arbeiten.

Wenn der Hauptseitenbetreiber dies aber nicht wünscht, kann er hier den Browser um Unterstützung bitten.

Das wird aber so langsam unübersichtlich mif CSP und SOP und HSTS und Webfonts mit und ohne Einschränkungen, usw., usw..

Glück Auf
Tom vom Berg