由于CSP冲突，站点未显示在iframe中_Iframe_Content Security Policy

由于CSP冲突，站点未显示在iframe中

iframe

由于CSP冲突，站点未显示在iframe中,iframe,content-security-policy,Iframe,Content Security Policy,我在一个iframe的Chrome中看到了这个错误：拒绝在帧中显示“”，因为祖先违反了以下内容安全策略指令：“帧祖先文件：cdvfile:'self'” 这是iframe的代码： <iframe src="https://secure.entertimeonline.com/ta/7687.careers?careersSearch=1&HostedBy=atticangel.org&InFrameset=1" width="100%" height="900" fram

我在一个iframe的Chrome中看到了这个错误：拒绝在帧中显示“”，因为祖先违反了以下内容安全策略指令：“帧祖先文件：cdvfile:'self'”

这是iframe的代码：

<iframe src="https://secure.entertimeonline.com/ta/7687.careers?careersSearch=1&HostedBy=atticangel.org&InFrameset=1" width="100%" height="900" frameborder="1"> </iframe>

您可以在此处看到操作中的错误：

我不太熟悉CSP指令，也没有找到关于cdvfile是什么的特别信息。我的问题是，有什么我可以改变我的网站，以满足安全政策？显然，此页面以前是可用的（我没有创建此页面，但我现在支持它），因此我不确定我支持的此站点或远程站点是否发生了更改。

您的CSP允许atticangel.com，但您的URL是www.atticangel.com

如果您删除“www”。它可以工作：

…因此，我建议将

www.atticangel.com

添加到您的框架祖先CSP

以下是iframe的代码：iframe源的CSP:

默认src“self”gap://ready; 脚本src'self'gap://ready www.google-analytics.com*.google.com*.googleapis.com*.taxcreditco.com*.linkedin.com*.youtube.com；框架src“自我”gap://ready www.google-analytics.com*.google.com*.googleapis.com*.taxcreditco.com*.linkedin.com*.youtube.com；img src*数据：；媒体src*；样式src“self”“unsafe inline”；帧文件：cdvfile:“self”https://atticangel.org

顺便说一句，我建议您主动决定该网站的URL是否包含“www”，并使“错误”的URL重定向到您选择的URL。