内容安全策略指令：“frame-ancestors 'self'

Question

我在我的网页中嵌入了一个 iFrame，如下所示：

var iframeProps = {
        'data-type': self.props.type,
        allowTransparency: self.props.allowTransparency,
        className: self.props.className,
        frameBorder: self.props.frameBorder,
        height: self.props.height,
        key: url,
        onLoad: self.props.onLoad.bind(self),
        scrolling: self.props.scrolling,
        src: self.state.isActive ? url : '',
        style: self.props.styles,
        width: self.props.width
    };
<iframe {...iframeProps} />

这会在控制台中引发错误

拒绝在框架中显示 'https://twitter.com/....，因为祖先违反了以下内容安全策略指令：“frame-ancestors 'self'”。

谁能告诉我如何才能完成这项工作？

Answer 1

由于设置了内容安全策略，禁止在 IFRAME 中显示该内容。托管 twitter.com 的网络服务器配置为向响应对象添加 HTTP 标头。具体来说，他们将 Content-Security-Policy 标记设置为 frame-ancestors 'self'。您无法使用 IFRAME 将他们的页面嵌入到您自己的页面中。您可以使用其他技术来解决这个问题，但没有一个比 iframe 标记更简单。

W3C Content Security Policy Level 3 - Frame Ancestors

Answer 2

我最近也遇到了这个问题，我没有找到任何替代方法来解决这个问题。最后，我想出了一个想法，iframe中的属性，即“src”，可以用原始html填充内容和它的工作原理。

// this demo shows the process of getting the html content 
// from the link,and then apply it to the attribute "src" in the iframe
$.get(link, function (response){ 
var html = response;
var html_src = 'data:text/html;charset=utf-8,' + html;
$("#iframeId").attr("src" , html_src);
});

Answer 3

我遇到了这个问题，因为我在浏览器的私人窗口中打开了链接。