html - iframe 中的内容安全策略会影响 Firefox 上的整个页面

问题描述

我有一种情况，广告在 iframe 中有 CSP 定义。在 chrome 中没有问题，但在 Firefox 中，加载广告后 CSP 会影响整个页面，我无法加载任何其他资源。

你可以看到这个例子的问题：

<html>
<head>
    <script>

        function getScript(url) {
            let tag = document.createElement('script');
            tag.src = url;
            tag.onload = () => document.getElementById('console').innerHTML += url + " loaded<br>";
            document.body.appendChild(tag);
        }
        function getFromCdnFirst() {
            getScript('https://cdnjs.cloudflare.com/ajax/libs/jquery/3.4.1/jquery.js');
        }

        function getFromCdnSecond() {
            getScript('https://cdnjs.cloudflare.com/ajax/libs/jquery/3.4.1/jquery.slim.min.js');
        }

        function getIframeWithCSP() {
            var doc = document.getElementById('iframe').contentWindow.document;
            doc.open();
            doc.write('<html><head><meta http-equiv="Content-Security-Policy" content="script-src https://cdn.ampproject.org/;object-src '+"'none';child-src blob:;frame-src 'none'" + '"></head><body>Test</body>');
            doc.close();
        }

    </script>
</head>

<body>
    <iframe id="iframe"></iframe><br>
    <button onClick="getFromCdnFirst()">Get script</button><br>
    <button onClick="getIframeWithCSP()">Get CSP</button><br>
    <button onClick="getFromCdnSecond()">Get script</button><br>
<div id="console">
</div>
</body>

它也可以在这里找到：https ://jsfiddle.net/54Luhjan/1/

单击第一个按钮后，js 加载，第二个链接将 CSP 插入 iframe，之后无法加载脚本 - CSP 阻止它。

您知道我可以做些什么来防止外部 CSP 损坏我的页面吗？

是 Firefox 的错误吗？

标签： htmlsecurityfirefoxcontent-security-policy