配置CSP和iframe有什么问题
配置CSP(Content Security Policy)和iframe(Inline Frame)在云计算领域中有以下问题:
- 安全性问题:CSP是一种安全策略,用于限制网页中加载的资源,防止恶意代码注入和跨站脚本攻击。然而,配置CSP可能会导致某些iframe无法加载或被拒绝访问,从而影响网页的功能和用户体验。
- 跨域访问问题:由于浏览器的同源策略限制,iframe默认不能跨域加载内容。如果在iframe中加载来自不同域名的资源,浏览器会阻止访问。虽然可以通过配置CSP中的"frame-ancestors"指令来解除同源策略限制,但这可能会增加安全风险。
- 兼容性问题:不同浏览器对于CSP和iframe的支持程度不同,可能存在兼容性问题。某些浏览器可能不支持某些CSP指令或iframe的某些功能,导致网页在不同浏览器上显示不一致或功能异常。
- 性能问题:使用iframe加载外部内容可能会增加网页的加载时间和资源消耗,尤其是当iframe中的内容较大或需要进行频繁的通信时。这可能会影响网页的性能和用户体验。
- SEO(Search Engine Optimization)问题:搜索引擎可能无法正确解析和索引通过iframe加载的内容,从而影响网页的搜索排名和可见性。
针对以上问题,腾讯云提供了一些相关产品和解决方案:
- 腾讯云Web应用防火墙(WAF):提供全面的Web应用安全防护,包括CSP配置、跨域访问控制等功能,帮助用户保护网站免受各种网络攻击。 产品链接:https://cloud.tencent.com/product/waf
- 腾讯云CDN(Content Delivery Network):通过全球分布的加速节点,提供快速可靠的内容分发服务,加速网页加载速度,减少跨域访问延迟。 产品链接:https://cloud.tencent.com/product/cdn
- 腾讯云Serverless产品:如云函数(SCF)和云开发(CloudBase)等,提供无服务器的计算能力和托管服务,可以减少对iframe的依赖,实现更灵活的前后端交互和数据处理。 产品链接:https://cloud.tencent.com/product/scf https://cloud.tencent.com/product/tcb
请注意,以上仅为腾讯云提供的一些解决方案,其他云计算品牌商也可能提供类似的产品和服务。
相关·内容
我想把我的Django网站嵌入一个特定的外部网站(不是任何网站)。
例如,我的网站是,并希望将其包含在其他网站()中,其iframe如下所示:
<iframe
src="https://www.mywebsite.com">
</iframe>
我读了很多文档,我不明白我是必须使用django-csp还是X_FRAME_OPTIONS (看起来已经过时了),还是两者都能兼容所有的导航器。
我试图安装和设置django-csp,但在这种情况下,所有的资源都被阻止了。
CSP_DEFAULT_SRC = ("'none'&#
浏览 1提问于2020-03-07得票数 0
我在webserver frame-ancestors: 'self'上添加了CSP配置。
目前,我有另一个Android应用程序,并在JS文件中使用iframe标记加载上述网站页面,如下所示:
<iframe src="https://www.exapleA.com/test/"></iframe>
但我得到的CSP错误如下:
拒绝在帧中显示“”,因为祖先违反了以下内容安全策略指令:“框架-祖先的自我”
你知道,Android应用程序将所有静态文件添加到包装器中,因此没有域可以附加到“框架-ancstors”中。那么如何
浏览 2提问于2018-05-22得票数 0
1回答
我有一个网页(比如origin=A),其中嵌入了一个iframe,它从一个不同的域(例如B)加载。B从不同的域(不同的CDN)加载大量脚本。我的网页A设置了相当严格的CSP,例如:
默认-src 'none';脚本-src 'self';框架-src B
B不设置任何CSP头。
现在,我希望子帧B继承A的CSP规则,并试图访问各种CDN,这应该违反了它的CSP,因为脚本-src 'self‘,但令我惊讶的是,它运行得很顺利。
所以我的问题是:如果是孩子,CSP是如何遗传的?如果没有提到CSP for iframe,它是否依赖于父帧的CSP?如果是
浏览 0提问于2017-04-05得票数 16
回答已采纳
如果我要在iFrame中加载另一个站点,那么该站点的内容安全策略标头是否会对站点是否被阻塞产生任何影响?
例如,如果我在一个中打开iFrame,我的站点上的CSP头设置和google.com上的设置之间是否有任何交互?或者谷歌的CSP只会影响他们试图在iFrame中加载的内容。
当然,如果谷歌有自己的iFrames,他们将需要CSP头允许任何第三方内容加载。但是,在google.com开始加载后,我的CSP头对谷歌的头有什么影响吗?如果谷歌试图将youtube.com加载到iFrame中,而我的CSP白名单中没有包含youtube.com,这会有效吗?
对不起,如果这是个愚蠢的问题,我想把我的
浏览 14提问于2022-07-07得票数 1
我有一种情况,广告在iframe中有一个CSP定义。在chrome中没有问题,但是在firefox中,在加载广告后,CSP会影响整个页面,而我无法加载任何其他资源。
您可以看到这个例子的问题:
<html>
<head>
<script>
function getScript(url) {
let tag = document.createElement('script');
tag.src = url;
tag.onload = () =>
浏览 0提问于2019-06-13得票数 3
回答已采纳
我需要在响应中更改CSP,其中包含来自IdentityServer4的登录页面,以便在我的客户端应用程序中呈现iframe页面。有可能吗?
浏览 1提问于2019-03-03得票数 1
1回答
是否有可能只允许在电子中的特定的iframe内嵌样式?
我的问题:,我正在尝试在电子应用程序中加载Whatfix脚本。Whatfix脚本加载iframe中的所有内容,它使用内联样式来呈现小部件,因为电子CSP没有任何样式。我不想在整个应用程序上使用unsafe-inline CSP,我只需要在这个来自Whatfix的iframe上使用它。
我得到的错误:Refused to apply inline style because it violates the following Content Security Policy directive: "default-src 's
浏览 8提问于2021-07-29得票数 0
1回答
我试图用允许脚本在我的沙箱iframe上设置一些CSP策略。当然,如果iframe本身启用了脚本,并且可以直接删除元标记,那么元标记就不会起作用了。是否有一种方法可以使用srcdoc创建iframe并仍然设置CSP,还是必须从服务器加载它?
浏览 8提问于2022-02-05得票数 0
回答已采纳
我们的一台服务器(VideoServer)最近更改了配置。从那时起,我得到了内容安全策略错误,页面来自FrontEndServer,,这些页面有一个嵌入的iframe,来源于VideoServer
我甚至暂时将FrontEndServer的httpd配置设置为只有以下标题:Header always append X-Frame-Options ALLOW,确保在更改后重新启动httpd服务。
在FrontEndServer上查看前端内容时继续获取CSP错误
Blocked by Content Security Policy
An error occurred during a conne
浏览 5提问于2020-06-22得票数 0
1回答
我想嵌入用户提供的HTML代码在我的网站。代码将是自包含的,并将包含script和style标记.我计划使用Content Security Policy头阻止所有网络调用。代码只能访问标准库(如jquery和其他标准资源)(在CSP中也将指定相同的代码)。我希望限制iframe内容和父域之间的任何通信。
我的计划是使用<iframe>嵌入内容。用户将提供一个输入,然后单击一个按钮,就会使用给定的输入片段呈现一个iframe。它将与页面的其他内容相一致地呈现。
我担心这对我的网站安全的影响。
,,我能弄清楚iframe null的起源吗?或者我必须在一个单独的域上托管我的内容,这样
浏览 0提问于2021-06-02得票数 5
回答已采纳
1回答
我有一个叫iframe 的电子商务网站
这反过来又调用了。
当我访问我的电子商务站点时,我在浏览器控制台中得到了下面的错误。
定义了以下CSP:
content-security-policy: style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' *.braintreegateway.com *.braintree-api.com;
而电子商务网站(仍在开发中)有:
content-security-policy: script-src
浏览 10提问于2022-11-08得票数 0
我想要创建一个浏览器扩展,它创建一个侧边栏。Chrome没有一流的侧边栏,因此我们必须在页面中添加一个iframe。但是,由于内容安全策略,这在许多页面上会中断。例如,GitHub使用CSP,它不允许将来自其他站点的iframes嵌入其中。例如,如果您试图将capitalone.com网站放在GitHub上的iframe中,您将得到以下内容:
拒绝帧'‘,因为它违反了以下内容安全策略指令:“frame 'self’render.githubusercontent.com www.youtube.com assets.braintreegateway.com”。
这里有一
浏览 14提问于2014-07-08得票数 50
回答已采纳
请帮帮我!
我试图在我的网站中添加一个嵌入的youtube视频,但由于下面的错误而无法加载。如何在不修改默认CSP的情况下修改单个文件中的CSP头(覆盖)。我只想修改这个PHP文件。
<iframe width="420" height="315"
src="https://www.youtube.com/embed/tgbNymZ7vqY">
</iframe>
Refused to frame 'https://www.youtube.com/' because it violates the fo
浏览 1提问于2020-11-14得票数 0
1回答
是否可以将iframe从其父级的CSP沙箱中排除(当父级使用Content-Security-Policy头启用其CSP沙箱时)?
我见过,但这似乎不是真的。至少不再是这样了。
我已经尝试过了,因为我没有想到任何其他的东西,通过用一个更自由的CSP头来服务iframed文档来覆盖父母的CSP头,但这并没有任何区别。
这种行为( iframed文档继承其父文档的CSP )是否在任何地方都有文档记录(即通过W3C)?
在这里给你一些背景知识:这个想法是用沙箱保护主文档,但允许通过可信的非沙箱iframe (不可信的主页将使用postMessage来告诉可信的iframe代表它做某些事情)来实现一些
浏览 0提问于2015-12-12得票数 3
我们的动机
我们正在用script-src: 'self'实现CSP2.0(特别是没有'unsafe-inline')。在某些地方,我们呈现带有跨原点内容的iframes,我们需要知道它们何时加载。在CSP之前,我们只需编写
<iframe src="https://some.cross/origin/content" onload="this.complete = true"/>
<script>
var iframe = document.querySelector('iframe'
浏览 1提问于2018-03-26得票数 1
回答已采纳
1回答
我们有一个要求,从外部合作伙伴安全的网站内部加载一个内部托管的角度用户界面。我们使用OIDC流调用内部IDP服务器来检索/验证用户令牌。
问题是,我们无法对内部IDP服务器的规则进行自定义修改,以便允许外部合作伙伴域在iframe ()中有效调用。
这将导致我们获得与无效的内容安全策略相关的错误,因为外部合作伙伴域不在CSP的允许域列表中。如果我们从内部公司域中(CSP允许)在iframe中提供这个UI,那么它就能正常工作。
假设我们必须从合作伙伴网站内内联(iframe或其他)加载我们的内部UI,并使用oauth模式验证我们的用户,对于这个问题有什么可行的解决方案吗?
我知道CSP和x帧选项
浏览 2提问于2021-12-07得票数 0
回答已采纳
2回答
即使使用了meta标签,它仍然显示错误,并且Iframe不起作用
<meta http-equiv="Content-Security-Policy" content="
default-src *;
style-src 'self' 'unsafe-inline';
script-src * 'self' https://checkout.stripe.com 'unsafe-inline'
connect-src :
浏览 5提问于2021-05-13得票数 0
我很难尝试为stripe实现3ds。自从我更新到cordova 10、android@9.1和ios@6.2之后,我就不能再为3ds加载iframe了。意图是正确设置和我收到3ds短信在我的手机,但我看不到iFrameContent。我试图在index.html中更改内容-安全策略,在config.xml中更改允许导航。
这些是我的config.xml属性:
<access origin="*" />
<allow-intent href="http://*/*" />
<allow-intent href=
浏览 3提问于2021-10-27得票数 4
回答已采纳
我需要允许另一个域嵌入我的网站在一个iframe。我可以使用Django CSP通过设置以下内容来实现这一点,假设example.com是将托管我网站iframe的域。
CSP_FRAME_ANCESTORS = ("'self'", 'example.com')
我希望Django以开箱即用的方式运行,它没有CSP (如果我错了,请纠正我)。在这种情况下,我如何使用CSP配置实现这一点?
我目前有这个,但它不能捕获所有东西,我不确定它是不是不如Django开箱即用的安全,或者是一样的。
CSP_DEFAULT_SRC = ("'
浏览 3提问于2021-10-01得票数 0
我使用来设置CSP头。我在前面用的是React。
我将图像存储在子域(assets.mydomain.com)上。由于某些原因,我得到以下错误消息:加载图像时的ERR_BLOCKED_BY_RESPONSE.NotSameOriginAfterDefaultedToSameOriginByCoep。
我还为使用了一个脚本标记。这一条还提供了一条错误消息:Refused to connect to https://www.google-analytics.com/ because it violates... "default-src 'self'"
我现在就是这
浏览 6提问于2022-03-24得票数 3
回答已采纳
1回答
有没有可能让客户聊天插件在iframe中工作?
它正在添加content-security-policy: frame-ancestors IFRAME_DOMAIN和显示Refused to frame 'https://www.facebook.com/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors IFRAME_DOMAIN
浏览 14提问于2021-12-01得票数 0
我试图让其他人嵌入我的rails应用程序的网页在许多网站上。我可以让它在Chrome和Firefox中使用X框架选项。是否有等效的response.headers['X-Frame-Options'] = "ALLOW-FROM *"内容安全策略?
以下是使用X帧选项的位
class PeopleController < ApplicationController
def embed
response.headers['X-Frame-Options'] = "ALLOW-FROM *"
@company
浏览 2提问于2021-05-16得票数 0
回答已采纳
1回答
我需要将Vega库( new Function() evals的大量用户)嵌入到一个具有锁定CSP的站点中(不允许使用Vega)。我一直在探索两种选择,并希望得到关于最佳路径的反馈意见:
nonce -通过nonce指令为使用nonce的脚本提供服务,希望未触发eval()错误。这个假设可能不正确--我仍然试图理解nonce的局限性。
将Vega图形放置在<iframe sandbox='allow-scripts'>...</>中,并通过消息与其通信。我不知道在一个被锁定的站点上的<iframe>是否有可能比它的父站点具有更宽松的安
浏览 2提问于2018-01-10得票数 1
回答已采纳
我有一个iframe在我的网络应用程序,我想沙箱,以防止打开弹出窗口等,但我也希望允许-相同的来源,因为一些原因。因此,我想应用的沙箱属性是:allow-scripts allow-forms allow-same-origin。“ifame”与其父名具有相同的起源。
现在,如果我使用iframe的sandbox属性应用沙箱,我知道可以通过访问父级DOM从iframe中删除sandbox属性来绕过它。
但是,如果我使用sandbox CSP指令应用沙箱呢?我使用HTTP报头传递CSP。它能被绕过吗?
浏览 1提问于2017-10-11得票数 0
1回答
哪些HTML元素不可见?
、、、
在Content策略的上下文中,如果元素具有相应策略中指定的nonce属性,则可以将它们排除在策略之外。
显然,这适用于某些HTML元素,例如<script nonce="...">和<style nonce="..."。然而,对于一些人来说,它不起作用,例如<iframe nonce="..." >。
在中写着提示:
注: CSP nonce源只能应用不可扩展的元素(例如,由于元素没有nonce属性,因此无法将其与此CSP源关联)。
是否有一个完整的不可见元素列表? MDN列出了脚本和样式标记的nonce属
浏览 4提问于2021-01-12得票数 8
我希望这个问题有一个简单的答案。
我正在使用"fancybox“工具在页面上嵌入来自Vimeo的视频。Fancybox实际上创建了一个iFrame并嵌入了Vimeo播放器。它在所有浏览器中都工作得很好--直到我打开了内容安全策略。然后ID就可以工作了(因为它没有实现CSP),但是Chrome和Firefox只是挂起了显示的“正在加载”的图片。
我已经尝试过这个CSP:
<add header="Content-Security-Policy" value="default-src 'self'; media-src 'self
浏览 0提问于2012-12-12得票数 4
回答已采纳
问候大家,
我刚刚开始在我的网站开发中实施CSP。我有Nodejs/express服务器,它使用redux和redux来响应js,我使用了应用程序作为前端。
我发现在nodejs中有一个名为和的模块,我已经实现了它们,并且我设法获得了响应头,如下图所示
但是,除非我添加元标记,否则在前端应用程序中什么都不会发生。
<meta http-equiv="Content-Security-Policy" content=" frame-src 'none'">
通过这个元标记,我成功地没有在页面中加载任何iframe,但是没有标记我无
浏览 0提问于2018-05-19得票数 0
我想呈现一个iframe,其源代码是Github,如下所示:
<iframe src="https://gist.github.com/user45445/9bf8d568e3350146ba302d7d67ad576f"> </iframe>
这是我在控制台中得到的错误:Refused to display 'https://gist.github.com/fresh5447/9bf8d568e3350146ba302d7d67ad576f' in a frame because an ancestor violates the fol
浏览 0提问于2016-07-23得票数 23
iframe显示它无法连接。我尝试在视图上使用默认的@xframe_options_exempt装饰器,以及django-csp的@csp_exempt,但都没有效果。
给出的控制台错误如下:
Refused to display 'http://localhost:8000/new_pull/' in a frame because it set 'X-Frame-Options' to 'deny'.
和Failed to load resource: the server responded with a status of 404 (No
浏览 2提问于2020-05-26得票数 0
回答已采纳
我有一个角度的网页应用,在那个网站上有一个iframe,用来显示一些报告。其中一些报告是HTML格式的,其中的脚本包含在数据中:
<script src="data:application/javascript;base64,KGZ1bmN0a...Ck7Cgo="></script>
我需要让他们发挥作用。但是,要想让它起作用,我必须将CSP更改为允许script-src data:,这并不是一个非常明智的举动。我通过尽可能多地将iframe与webapp分离来解决这个问题,因此我试图在沙箱模式中使用iframe,但是由于有空源,没有script-sr
浏览 5提问于2022-02-22得票数 0
回答已采纳
我在Chrome的iframe中看到这个错误:拒绝在框架中显示'‘,因为祖先违反了以下内容安全策略指令:“框架-祖先文件: cdvfile:'self’”。
这是iframe的代码:
<iframe src="https://secure.entertimeonline.com/ta/7687.careers?careersSearch=1&HostedBy=atticangel.org&InFrameset=1" width="100%" height="900" frameborder="1
浏览 24提问于2019-12-03得票数 0
回答已采纳
如果我有一个CSP设置为:
default-src 'self'; img-src *
或者类似的,我有这样的一个iframe:
some legal content
<iframe sandbox="allow-scripts" srcdoc="<script>alert('arbitrary code')</script>"></iframe>
允许iframe中的代码违反父框架的CSP并允许内联脚本/样式、来自其他域的内容或任何其他不违反沙箱限制的HTML内容?
浏览 3提问于2015-05-24得票数 7
回答已采纳
frame-src和frame-ancestors到底做了什么?定义显示了为这两个指令为框架定义有效内容的目的是相同的。什么时候用哪一个?我能够在iframe中加载一个外部域内容,使用-
frame-ancestors和default-src规则
frame-src
两者都在工作,但无法获得正确的用例。
浏览 2提问于2019-01-18得票数 33
回答已采纳
CSP使用可以托管内容的域的白名单。
这可以与使用联盟营销的网站一起工作吗?通常在“订单已完成”页面上有一个iframe,它托管一个由附属合作伙伴控制的脚本。
这将是可以白名单的联盟脚本的领域,但我不能控制的脚本做什么:我是相当舒缓它会加载其他内容,不是白色的。
有没有人对联盟脚本和CSP有好的或坏的经验?
浏览 2提问于2013-02-13得票数 4
2回答
nginx FAQ 是否有适当的方法使用nginx变量使配置的部分更短,并将它们用作宏以使部分配置工作为模板? (粗体是我的):
问:是否有适当的方法使用nginx变量来缩短配置的部分,使用它们作为宏使部分配置工作为模板?答:变量不应用作模板宏。在每个请求的处理过程中,Variables都是在运行时进行评估的,因此与普通的静态配置相比,它们的开销相当大。使用变量来存储静态字符串也是个坏主意。相反,应该使用宏展开和“包含”指令来更容易地生成信任,并且可以使用外部工具(例如sed + make或任何其他公共模板机制)来完成。
例如,为了获得更好的可读性,我使用的不是一个超长add_header C
浏览 0提问于2020-06-02得票数 1
回答已采纳
我有一个web应用程序,它有一个嵌入式地图字段,这是使用的iframe实现的…
我正在移植我们的应用程序(目前作为主屏幕图标运行)到iOS上的Cordova,所以添加了Cordova包装器。我们已经在Android上通过Cordova运行了这个应用程序。
我有一个带有子元素的div
<iframe src="https://maps.google.com/?iwloc=&output=embed&q=something"></iframe>
最初,当Cordova项目只关注Android时,我在config.xml中
<access
浏览 0提问于2017-08-18得票数 7
1回答
我正在尝试编写一个chrome扩展,以便在Google Hangout中自动拨号,这样我就不必在每次会议中都输入我的会议桥号码。如果他们保存了too...anyway就好了,我有工作的概念,但我正在试图绕过一个跨来源的问题。
当您在Google Hangout中拨打电话时,您可以从联系人页面开始,然后输入您要拨打的号码。当您按enter键或单击“呼叫”时,拨号器将加载到iFrame中。在我的chrome扩展中,我能够获得对iFrame的引用,但是框架在"plus.google.com“域下,并且我的脚本是从"hangouts.google.com”访问的。
我知道它们都在goo
浏览 3提问于2016-10-15得票数 5
假设我们有一个包含敏感数据的网页。该页面使用一个营销合作伙伴advertisingpartner.com,它通过外国iframe中的第三方cookie收集数据。我们采用了一个相对严格的CSP:
connect-src 'self';
frame-ancestors 'self';
frame-src 'self' https://advertisingpartner.com;
media-src 'self';
object-src 'none';
script-src 'self' 'un
浏览 0提问于2019-02-28得票数 2
1回答
下面的代码片段在所有运行http的浏览器中都能正常工作
但是当我在Safari中用https运行它时,这不起作用。
它在Chrome的http和https上都能正常工作。
<iframe sandbox="allow-scripts" srcdoc="
<script>
var blob = new Blob(['abc']);
var fr = new FileReader();
fr.readAsText(blob);
fr.onerror = () => document.body.inn
浏览 1提问于2017-03-26得票数 2
我必须在这个应用程序的另一个页面上显示我的页面,这是我的应用程序的一部分。
例如,我有/customers页面和/invoices页面(这两个操作都是#index)。/invoices页面有iframe和src='http://localhost:3000/customers'。
如何使它正确工作(也在生产中,这意味着example.com/invoices必须在iframe中显示example.com/customer )?
我已经尝试过来自StackOverflow的其他解决方案:
response.headers.delete('X-Frame-Options&#
浏览 1提问于2020-09-09得票数 0
回答已采纳
3回答
The issue
我使用了Ofir Dagan的github项目:存储跨域本地存储。
它实现了html5本地存储:
问题:
Safari默认不允许第三方cookie(其他浏览器允许)。
Safari的隐私偏好如下:
默认情况是:“允许我访问网站”。
我读到了这些设置:
始终阻止-阻止所有第三方cookie和阻止所有第三方cookie。
允许从当前网站只允许-允许所有的第一方饼干,并阻止所有第三方饼干.
允许我访问的网站--允许所有第三方cookie,并阻止所有第三方cookie,除非该第三方同时是第三方(基于当前的cookie和浏览历史)。
总是允许-允许所有第三
浏览 12提问于2016-07-26得票数 16
回答已采纳
1回答
我的Node应用程序似乎阻塞了所有CDN和iframe内容,例如,我的表没有加载dataTables内容(比如排序和搜索),我的图表也不起作用。它们以前都在工作,我修改的最后一件事是包更新和节点更新,而这些更新似乎与问题无关。我想知道可能发生了什么以及如何解决这一问题。
如果这个问题不是那么客观的话,我很抱歉,但我真的不知道从何说起。
浏览 0提问于2021-03-22得票数 0
回答已采纳
我刚把我的magento商店从2.3.4升级到2.3.5-p1。我的商店使用static.domain.com和media.domain.com来部署静态和媒体内容。
控制台错误消息-示例报告仅拒绝加载样式表'URL‘,因为它违反了以下内容安全策略指令:....
期待着很快收到大家的回音!
浏览 28提问于2020-05-04得票数 2
回答已采纳
全。我正在尝试将IpythonNotebook嵌入到我的页面中。我想像一样通过iFrame来做这件事。但是默认情况下,它是禁止帧Ipython的。什么时候
<iframe id="NBframe" src="http://localhost:8888/notebooks/Untitled0.ipynb"></iframe>
我收到
Refused to display 'http://localhost:8888/notebooks/Untitled0.ipynb' in a frame because it set &#
浏览 2提问于2015-01-12得票数 0
回答已采纳
我在.htacces文件中添加了以下几行:
Content-Security-Policy: default-src 'self'
X-Content-Security-Policy: default-src 'self'
X-WebKit-CSP: default-src 'self'
但我总是得到以下错误:
Invalid command 'Content-Security-Policy:', perhaps misspelled or defined by a module not included in the serve
浏览 2提问于2013-05-05得票数 8
回答已采纳
1回答
我试图从我的chrome应用程序中的沙箱页面进行ajax调用,但我得到了以下错误:
XMLHttpRequest无法加载。“访问控制-允许-原产地”标题的值“”与所提供的源不相等。因此,原产地'null‘不允许访问。
似乎交叉域是不允许的,但是在沙箱应用程序中应该是..。哪里出错了?
Manifest.json:
{
"name": "app",
"description": "app",
"version": "0.1",
"manifest
浏览 3提问于2015-02-17得票数 1
回答已采纳
我最近读了一篇关于嵌入式内容安全策略(CSP)的W3C工作草案。
该文档定义了一种机制,通过这种机制,网页可以嵌入嵌套的浏览上下文当且仅当它同意对自己强制执行一组特定的限制。来源:内容安全策略:嵌入式执行
除非我完全理解错了,否则这个嵌入CSP不会完全破坏CSP的基本原理吗?
在可以注入HTML (使用iframe)或JS (XSS)的情况下,您可以设置这样的"Embedded“属性?从原始HTTP响应覆盖CSP?这似乎是不可取的。
浏览 0提问于2017-06-22得票数 2
回答已采纳
1回答
我在IIS托管网站上遇到了一个奇怪的问题。该站点有两个绑定。让我们称它们为https://abc.xxx.com和https://def.yyy.com。 我已经为CSP设置了以下内容 Content-Security-Policy: frame-ancestors 'self' https://*.xxx.com 该网站上有一个带有src="https://abc.xxx.com/somepath"“的iframe页面。当我从绑定的第一个URL访问该页面时,iframe加载正常。如果我使用第二个URL访问它,我会得到: Refused to frame &#
浏览 821提问于2021-08-26得票数 0
回答已采纳
1回答
我有两个网站:
https://exampleiframe.com (第三方网站),https://example.com (我的网站)
我想限制https://example.com只在https://exampleiframe.com的iframe内部加载
我在https://example.com的响应头中在CSP下面添加了فاث。
"Content-Security-Policy": "frame-ancestors 'self' https://exampleiframe.com"
此策略仅限制来自iframe的请求。但我不想加载这个网
浏览 7提问于2020-12-30得票数 3
我有一个双Linux系统,在这里我试图启用REST使用所需的CSPFileTypes *。在此之前,Apache一直工作得很好。
Alias /testrest/ /app/vubis/TESTSERVICE/
<Directory "/app/vubis/TESTSERVICE/">
CSP On
CSPFileTypes *
AllowOverride None
Options MultiViews FollowSymLinks ExecCGI
Require all granted
<FilesMatch
浏览 0提问于2020-07-11得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
