如何正确设置 CSP 以允许在我自己的域上使用 Iframe?
How do I correctly set CSP to allow for Iframe use on my own domains?
我试图在我的一个页面上放置一个 iframe,并将我自己域中的另一个网页作为源,但出现访问被拒绝的错误。查找问题后,似乎 CSP 是问题所在。我从来没有设置过它,我猜它是默认打开的,或者是由我的托管服务提供商设置的。无论哪种方式,我都尝试了很多我在网上找到的解决方案并且 none 有效。
我读完了https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-src
我试过使用各种语法在放置在 iframe 中的页面的 html 中设置 CSP。
而且,我已经尝试使用各种语法在我的 htaccess 文件中设置它。
但是,我的 none 次尝试改变了这种情况并允许加载 iframe...我该如何解决这个问题?
理想情况下,我希望允许我的域和子域通过 htaccess 执行此操作,以便它在整个站点范围内工作。
编辑:我发现将此行添加到我的 htaccess 似乎在某种程度上起作用,但现在我得到了一个不同的错误,“对服务器的请求已被扩展阻止。”
Header set Content-Security-Policy "frame-src *.dustynaltimus.com;"
找到解决方案:
Header always set Content-Security-Policy "frame-ancestors https://*.mysite.com;"
我试图在我的一个页面上放置一个 iframe,并将我自己域中的另一个网页作为源,但出现访问被拒绝的错误。查找问题后,似乎 CSP 是问题所在。我从来没有设置过它,我猜它是默认打开的,或者是由我的托管服务提供商设置的。无论哪种方式,我都尝试了很多我在网上找到的解决方案并且 none 有效。
我读完了https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-src
我试过使用各种语法在放置在 iframe 中的页面的 html 中设置 CSP。
而且,我已经尝试使用各种语法在我的 htaccess 文件中设置它。
但是,我的 none 次尝试改变了这种情况并允许加载 iframe...我该如何解决这个问题?
理想情况下,我希望允许我的域和子域通过 htaccess 执行此操作,以便它在整个站点范围内工作。
编辑:我发现将此行添加到我的 htaccess 似乎在某种程度上起作用,但现在我得到了一个不同的错误,“对服务器的请求已被扩展阻止。”
Header set Content-Security-Policy "frame-src *.dustynaltimus.com;"
找到解决方案:
Header always set Content-Security-Policy "frame-ancestors https://*.mysite.com;"