【问题标题】:How do I correctly set CSP to allow for Iframe use on my own domains?如何正确设置 CSP 以允许在我自己的域上使用 iframe?
【发布时间】:2020-12-07 18:58:38
【问题描述】:

我试图在我的一个页面上放置一个 iframe,并将我自己域中的另一个网页作为源,并收到访问被拒绝的错误。查找问题后,似乎 CSP 是问题所在。我从来没有设置过它,我猜它是默认开启的,或者是由我的托管服务提供商设置的。无论哪种方式,我都尝试了很多我在网上找到的解决方案,但都没有奏效。

我已经阅读了https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-src

我尝试使用各种语法在 iframe 中放置页面的 html 中设置 CSP。

而且,我已经尝试使用各种语法在我的 htaccess 文件中设置它。

但是,我的任何尝试都没有改变这种情况并允许加载 iframe...我该如何解决这个问题?

理想情况下,我希望允许我的域和子域通过 htaccess 执行此操作,以便它在站点范围内工作。

编辑:我发现将这一行添加到我的 htaccess 似乎在某种程度上可以工作,但现在我得到了一个不同的错误,“对服务器的请求已被扩展程序阻止。”

Header set Content-Security-Policy "frame-src *.dustynaltimus.com;"

【问题讨论】:

    标签: html .htaccess iframe http-headers content-security-policy


    【解决方案1】:

    找到解决方案:

    Header always set Content-Security-Policy "frame-ancestors https://*.mysite.com;"
    

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2018-04-01
      • 2012-03-19
      • 1970-01-01
      • 2020-09-22
      • 2013-09-08
      • 1970-01-01
      相关资源
      最近更新 更多