1. 首页
  2. 问答
  3. 内容安全,策略+帧祖先

内容安全,策略+帧祖先

2014-09-24 153 views
4

我试图阻止我的内容被加载到iframe,所以我实现了内容安全,策略标题:内容安全,策略+帧祖先

Response.AddHeader("Content-Security-Policy", "frame-ancestors *.twitter.com");

故意在各种测试浏览器我把它设置为Twitter,希望当我构建我的内容时,它会破坏。

但是,我在chrome中得到以下警告,但内容仍然显示。

拒绝在该 框架中显示'http://corsupport.azurewebsites.net/sandbox因为祖先违反了以下内容安全 政策指令:‘帧的祖先* .twitter.com’。

这个政策相当新,所以任何建议都会很棒。

我已经成功地实现

Response.AddHeader("Access-Control-Allow-Origin", 'http:localhost:61021');

来源

2014-09-24 RubbleFord

回答

1

它实际上Chrome错误,其现在应该是固定在开发渠道。

https://code.google.com/p/chromium/issues/detail?can=2&start=0&num=100&q=&colspec=ID%20Pri%20M%20Iteration%20ReleaseBlock%20Cr%20Status%20Owner%20Summary%20OS%20Modified&groupby=&sort=&id=129139

来源

2014-09-24 13:05:21 RubbleFord

+0

注意,在Firefox框架的祖先不会采取优先,看到这个bug https://bugzilla.mozilla.org/show_bug.cgi?id=1024557并给予好评它来尝试修复此问题(我猜测我们在IE中没有太多的工作可以解决这个问题)。 – MicWit 2017-02-21 22:12:06

相关问题

 相关问题