【发布时间】:2020-06-01 01:49:53
【问题描述】:
我们在从嵌入到某些外部门户的 iframe 的门户中导出文档时遇到问题。
我们在控制台中看到以下错误:
内容安全策略:页面设置阻止了在 blob:https://abc.def.com/1gg3810-ae25-42ae-ghghb-123456789(“frame-src”)处加载资源。
这个问题只出现在 Firefox 中。我们能够在其他浏览器中导出文档。我们认为问题在于门户嵌入到 iframe 中。当我们在单独的选项卡中执行下载 URL 时,它允许下载文档。
我们正在使用以下 CSP 政策:
default-src * blob: 'self' 'unsafe-eval' 'unsafe-inline';字体-src * 数据:; img-src * 数据:; frame-src * blob:数据:'self';对象源 *
谢谢
【问题讨论】:
-
那时,您为什么还要使用 CSP?如果您实际上不打算依靠它来确保事情的安全,那么您不妨完全关闭它。 CSP 中的值来自 not 允许 eval 和 blob 之类的东西,因为 您无法控制它们,因此您不应该允许它们。
-
CSP 由我们无法控制的外部门户设置。我们的应用程序只是显示在该门户的 iframe 中。
-
那么有人需要联系您的门户管理员:照原样,一个允许的 CSP 什么都不做。话虽如此,您显示的 blob 根本不是 blob,它是一个常规 URL,前面添加了
blob:,所以首先要尝试删除blob:前缀并查看是否现在一切正常。
标签: javascript java firefox content-security-policy