content-security-policy - 框架的内容安全策略。框架源与框架祖先
问题描述
具体做什么frame-src
和frame-ancestors
做什么?该定义显示为两个指令定义框架的有效内容的目的相同。什么时候用哪一个?我能够在使用中加载外部域内容iframe
-
frame-ancestors
和default-src
规则frame-src
两者都在工作,但无法获得正确的用例。
解决方案
default-src
、frame-ancestors
和frame-src
都是Content-Security-Policy 响应标头的一部分。
帧源
限制可以在iframe
.
HTTP Content-Security-Policy (CSP)指令为使用和
frame-src
等元素加载的嵌套浏览上下文指定有效源。<frame>
<iframe>
例如:如果网站https://example.com
的响应头为Content-Security-Policy: frame-src 'self'
,则它只能https://example.com
在内部加载iframes
。
框架祖先
限制可以从一个iframe
(类似于X-Frame-Options
标题,但优先于它)加载哪些域和页面。
HTTP Content-Security-Policy (CSP)
frame-ancestors
指令指定可以使用<frame>
、<iframe>
、<object>
、<embed>
或嵌入页面的有效父级<applet>
。
例如:如果网站 athttps://example.com
的响应头为Content-Security-Policy: frame-ancestors 'self'
,则只能从内部加载。iframes
https://example.com
默认源
充当任何未显式设置的 fetch 指令的默认值(这里是所有 fetch 指令的列表)
HTTP Content-Security-Policy (CSP)
default-src
指令用作其他 CSP 提取指令的后备。对于以下每个不存在的指令,用户代理将查找该default-src
指令并将其使用此值。
例如: Content-Security-Policy: default-src 'self'
将默认'self'
为所有 fetch 指令的值。其他指令将不受影响。
注意:由于frame-ancestors
不是 fetch 指令,因此设置default-src
不会限制它。需要单独设置。
推荐阅读
- performance - 如何提高 controller.get_callable 的执行时间
- tensorflow - 重新加载模型后validation_loss突然下降
- python - Pandas read_csv 大文件将每一列合二为一
- azure - 受 OAuth2.0 保护的 Azure api:无法在 Postman 中获取身份验证令牌
- lua - 如何提取命令的变量?
- javascript - jQuery mouseover 函数在 $(window).resize 之后仍然触发
- java - 错误:java.lang.IllegalArgumentException:密码散列(没有回显的提示)使用 java.io.Console 安全地读取密码
- android - TAG 216 PWD_AUTH 命令在使用 NFC Tols 设置密码后失败
- c# - 在 c# windows 窗体应用程序中使用 showDialog() 方法打开窗体后未触发串行端口事件
- node.js - 使用 node.js 标准环境在 AppEngine 上找不到模块 @google-cloud/firestore