内容安全策略框架祖先错误地阻止来自文件系统的 safari

Question

当我注意到我的应用程序中使用的 iframe 没有在 ios 上正确加载时，我正在为 android 和 ios 开发一个 cordova 应用程序。事实证明，尽管从 web 服务器正确设置了 frame-ancestors HTTP 标头，但如果通过文件系统打开，safari 将错误地拒绝加载 iframe。

Refused to load http://to-delete-test.azurewebsites.net/ because it does not appear in the frame-ancestors directive of the Content Security Policy.

测试页面的 CSP Header 是：

Content-Security-Policy: frame-ancestors * data: blob: filesystem: about: ws: wss:

显示此错误的示例 HTML 文件（必须从文件系统加载）：

<!DOCTYPE html>
<html lang="en">
<head>
    <style>
        * {
            margin: 0; padding: 0; box-sizing: border-box;
        }
        iframe {
            height: 100vh; width: 100%;
        }
    </style>
</head>
<body>
    <iframe src="http://to-delete-test.azurewebsites.net"></iframe>
</body>
</html>

有没有办法可以修改页眉以允许通过 iframe 加载我的网站？

Answer 1

在 cmets 中提供更多信息后，情况变得清晰。 由于安全原因，无论 CSP 为何，都禁止在嵌套浏览上下文（iframe、对象、嵌入）中打开文件：- URL，如 file:///path/to/file/index.html。 <a href='file:///path/to/file/index.html'> 也禁止导航。

您无法通过使用 CSP 来解决此限制。此外，frame-ancestors 指令不支持非网络方案，因为它失去了意义。

显示的控制台消息看起来也属于 Safari，这有点误导。 Chrome 应该显示真正的违规原因，例如：拒绝加载 iframe file:///path/to/file/index.html，因为它违反了以下内容安全政策指令：...。

注意。 Chrome 浏览器允许在加载图像/样式/脚本等时使用file:/// 方案访问本地文件系统：

<img src='file:///c:/img.png'>
<script src='file:///c:/scripr.js'></script>
<link rel='stylesheet' href='file:///c:/style.css'>

甚至支持file: scheme in CSP。
但 AFAIK 浏览器扩展不应使用通过 file:///-URL 的直接访问。扩展必须使用自己打包的资源或File API