什么 CSP 子 iframe 从其父 iframe 继承？

Question

我有一个网页（比如 origin=A），其中嵌入了一个 iframe，它从不同的域（比如 B）加载。 B 从不同的域（各种 CDN）加载一堆脚本。我的网页 A 设置了非常严格的 CSP，例如：

default-src '无';脚本源'自我';帧源B

B 没有设置任何 CSP 标头。

现在我希望子框架 B 继承 A 的 CSP 规则并尝试访问各种 CDN 应该违反其 CSP，因为 script-src 'self' 但令我惊讶的是，它运行顺利。

所以我的问题是： 子 iframe 如何继承 CSP？如果未提及 iframe 的 CSP，它是否取决于其父框架的 CSP？如果是，如何？是否有任何关于它的文档，我找不到任何可以解释上述情况的具体内容。

有没有办法调试子 iframe 继承的 CSP？从 Chrome 的调试器或 FF 的调试器 - 通过选择 iframe，然后 iframe 的 CSP 会出现？

Answer 1

子 iframe 如何继承 CSP？

不是——不是常见的情况（问题中的“从不同域加载”的情况）。

但是还有其他方法可以填充 iframe，而 CSP 的工作方式不同（见下文）。

如果不提及 iframe 的 CSP，是否取决于其父框架的 CSP？

不，它不适用于常见情况（问题中的“从不同域加载”情况）。

是否有任何关于它的文档

是的，请参阅Policy applicability section of the CSP2 specification，上面写着：

嵌入式上下文：通过iframe、object 或embed 包含的任何资源。

除非嵌入式资源是全局唯一标识符（或srcdoc iframe），否则嵌入式资源由随资源提供的策略控制。如果嵌入的资源是全局唯一标识符或srcdoc iframe，它会继承创建它的上下文的策略。

“全局唯一标识符”是指带有 data: URL 或其他非分层 URL 的 URL，例如 https/http URL。

因此，常见情况（问题中的“从不同域加载”）是“嵌入式资源受与资源一起交付的策略控制”的情况，即它不继承。

相比之下，如果iframe是srcdoc iframe，情况就大不一样了，the spec says：

每当用户代理在嵌套在受保护资源中的浏览上下文中创建 iframe srcdoc 文档时，如果用户代理正在为受保护资源执行任何策略，则用户代理必须在 iframe srcdoc 文档上强制执行这些策略：好吧。

这是一个srcdoc iframe确实继承了其父级的 CSP 策略。