用 CSP 替换 X-Frame-Options
Replacing X-Frame-Options with CSP
我正在从 X-Frame-Options 迁移到内容安全策略以修复 click-jacking 漏洞。我的应用程序曾经在 hte X-Frame-Options header 中设置 SAMEORIGIN 策略。 Content-Security-Policy中的等效选项是什么?
X-Frame-Options: SAMEORIGIN ➡ Content-Security-Policy: frame-ancestors 'self'
X-Frame-Options: DENY ➡ Content-Security-Policy: frame-ancestors 'none'
另见 https://w3c.github.io/webappsec-csp/#frame-ancestors-and-frame-options
我正在从 X-Frame-Options 迁移到内容安全策略以修复 click-jacking 漏洞。我的应用程序曾经在 hte X-Frame-Options header 中设置 SAMEORIGIN 策略。 Content-Security-Policy中的等效选项是什么?
X-Frame-Options: SAMEORIGIN➡Content-Security-Policy: frame-ancestors 'self'X-Frame-Options: DENY➡Content-Security-Policy: frame-ancestors 'none'
另见 https://w3c.github.io/webappsec-csp/#frame-ancestors-and-frame-options