同一ドメイン内で、特定のURLのみiframeを許可、その他では拒否する方法は？

はい、add_header自体は、location単位で設定できます。 locationを分ければ、locationごとにadd_headerを設定できます。 しかし、locationディレクティブに記載したX-Frame-OptionsやContent-Security-Policyのframe-ancestorsディレクティブは、個別パスの設定はできないと認識しています。 おそらく私はlocationを許可・非許可URLごとに分けるべきなのか、location / {} を１つだけ用意して、add_header内のCSP設定によって、私の課題が解決できるのか分かっていません。

> locationを分ければ、locationごとにadd_headerを設定できます。 そうしてください。

location{}は複数書けます。

具体的なディレクティブの例を教えていただけますか？try_filesのファイルも別に用意して処理を分ける必要があるのでしょうか？

> try_filesのファイルも別に用意して処理を分ける必要があるのでしょうか？ その必要はありません。切り分ける箇所にadd_headerだけ書けばいいです（locationはネストできます）。

う～ん。locationの切り分けを以下でやってみてたんですが、CSPは効きます。効きますが、/embed/の方にも効いてしまってる状態で完全にスタック中でした。もしかしたらnginxのレスポンスヘッダーのキャッシュのようなものが残ってしまってると思い、proxy_hide_headerしてみましたが意味なかったです。 困りました。 location ^~ /embed/ { proxy_hide_header Content-Security-Policy; try_files $uri $uri/ /index.html; } location / { add_header Content-Security-Policy "default-src 'self'; connect-src 'self'; frame-src https://example.com/;"; try_files $uri $uri/ /index.html; }

> locationの切り分けを以下でやってみてたんですが どう見てもadd_headerを切り分けているようには見えないのですが。

たとえばどうすれば切り分けになりますか？ 例を教えてくれると助かります。

「/embed/以外」というlocationを作って、そこにだけadd_headerを書く

location ^~ /embed/　で一致したら下のlocation / {}には行かないので、ヘッダーなし。 それ以外なら、location / {}にHITするのでヘッダーあり になりませんか？