【发布时间】:2020-10-28 22:26:23
【问题描述】:
我有一个 iframe 标记,其中 src 是不同服务器上的另一个网页。我有能力修改两个站点的标题。在开始实施控制安全策略之前,我可以单击 iframe 内的按钮并检索 GPS 坐标。我相信控制安全策略会阻止我的父站点运行 Geolocation API。
父站点的代码:
<customHeaders>
<add name="Content-Security-Policy" value="frame-src 'self' https://MyChildSite.com" />
</customHeaders>
<html>
<iframe src="https://MyChildSite.com" allow="geolocation"></iframe>
</html>
子站点的代码:
<customHeaders>
<add name="Content-Security-Policy" value="frame-src 'self' https://MyParentSite.com" />
<add name="Feature-Policy" value="geolocation 'self' https://MyParentSite.com" />
</customHeaders>
<html>
<button onclick="getCoordinates()">Get GPS</button>
...list some stuff
</html>
当我通过父站点单击子站点上的按钮时,我没有从坐标中得到预期的响应。 有解决办法吗?
【问题讨论】:
-
浏览器在 devtools 控制台中记录的确切错误消息和警告是什么?
-
奇怪的是没有任何错误消息。控制台只是返回 undefined。
标签: iframe geolocation content-security-policy feature-policy