Content security policy CSP中的多个帧祖先被X帧选项覆盖
我在为我的UI设置安全策略时遇到了一些问题,这些UI可以由多个站点构建。我正在使用多帧祖先设置CSP策略。添加XFrame选项是强制性的,因此如果我将其留空,呈现所有UI的父类将添加XFO SAMEORIGIN,这与CSP框架祖先相矛盾Content security policy CSP中的多个帧祖先被X帧选项覆盖,content-security-policy,x-frame-options,Content Security Policy,X Frame Options,我在为我的UI设置安全策略时遇到了一些问题,这些UI可以由多个站点构建。我正在使用多帧祖先设置CSP策略。添加XFrame选项是强制性的,因此如果我将其留空,呈现所有UI的父类将添加XFO SAMEORIGIN,这与CSP框架祖先相矛盾 一种选择是使用ALLOWALL,但这并没有得到广泛支持。是否有其他方法可以设置X-Frame选项,但允许从多个URI进行设置?如果您提供的值无效,X-Frame-Options基本上将被忽略,从而允许返回到您提供的帧祖先 因为它可以是任何价值,所以享受乐趣: X
一种选择是使用ALLOWALL,但这并没有得到广泛支持。是否有其他方法可以设置X-Frame选项,但允许从多个URI进行设置?如果您提供的值无效,X-Frame-Options基本上将被忽略,从而允许返回到您提供的帧祖先 因为它可以是任何价值,所以享受乐趣:
X-Frame-Options: totally chill
我面临这个问题主要是因为我无法修改父类的行为。请注意,框架祖先在firefox中不具有优先权,请查看此错误并升级它以尝试修复此错误。当然,它们在任何微软浏览器中都不起作用。