CSP header 仅在 firefox 的 iframe 中阻止文件下载
CSP header blocks file download in iframe in firefox only
我正在 iframe 中启动我的网站。我正在使用以下 CSP headers:
default-src 'self'; frame-ancestors: 'self'; img-src 'self' data:
我正在尝试使用以下方式从客户端下载文件:
var a = doc.createElement('a');
a.download ='download.pdf';
a.href = 'data:application/pdf;base64,' + pdfdata;
doc.body.appendChild(a);
a.onclick = function () {
a.parentNode.removeChild(a);
};
a.click();
在Chrome & IE中,文件下载成功。但是对于 Firefox,我看到以下 CSP 错误:
Content Security Policy: The page’s settings blocked the loading of a
resource at data:application/pdf;base64,JVBERi0xLjcK... (“default-src
self”).
我不明白为什么它只对 Firefox 失败。
这是 Firefox 的问题。我已经记录了针对此问题的以下错误,现在已由 Bugzilla 团队确认。
https://bugzilla.mozilla.org/show_bug.cgi?id=1365502
您还可以检查以下 url 以重现此问题
http://data-uri-download-csp.bitballoon.com/
我正在 iframe 中启动我的网站。我正在使用以下 CSP headers:
default-src 'self'; frame-ancestors: 'self'; img-src 'self' data:
我正在尝试使用以下方式从客户端下载文件:
var a = doc.createElement('a');
a.download ='download.pdf';
a.href = 'data:application/pdf;base64,' + pdfdata;
doc.body.appendChild(a);
a.onclick = function () {
a.parentNode.removeChild(a);
};
a.click();
在Chrome & IE中,文件下载成功。但是对于 Firefox,我看到以下 CSP 错误:
Content Security Policy: The page’s settings blocked the loading of a resource at data:application/pdf;base64,JVBERi0xLjcK... (“default-src self”).
我不明白为什么它只对 Firefox 失败。
这是 Firefox 的问题。我已经记录了针对此问题的以下错误,现在已由 Bugzilla 团队确认。 https://bugzilla.mozilla.org/show_bug.cgi?id=1365502
您还可以检查以下 url 以重现此问题 http://data-uri-download-csp.bitballoon.com/