Nginx CSP帧src被忽略_Nginx_Content Security Policy

Nginx CSP帧src被忽略

nginx

Nginx CSP帧src被忽略,nginx,content-security-policy,Nginx,Content Security Policy,我有一个Nginx CSP，配置如下： add_header Content-Security-Policy "default-src 'self';script-src 'self' 'unsafe-eval' https://www.google-analytics.com/analytics.js;img-src 'self' https://ssl.google-analytics.com data:;style-src 'self' 'unsafe-inline';font-src '

我有一个Nginx CSP，配置如下：

add_header Content-Security-Policy "default-src 'self';script-src 'self' 'unsafe-eval' https://www.google-analytics.com/analytics.js;img-src 'self' https://ssl.google-analytics.com data:;style-src 'self' 'unsafe-inline';font-src 'self' 'unsafe-inline';frame-src 'self' https:;object-src 'self';connect-src 'self' ws:;media-src 'self'

当我尝试在Chrome中加载页面时，我看到：

Refused to frame 'https://myexternalwebsite.com/a/b/index.html' because it violates the following Content Security Policy directive: "default-src 'self'". Note that 'frame-src' was not explicitly set, so 'default-src' is used as a fallback.

在我的CSP框架中，src已明确设置，并具有“self”和https值：

我可能做错了什么？

有点奇怪，但我通过指定以下内容来解决此问题：

frame-src 'self' *;

这满足了我的要求。

如果在默认策略中添加“https:”会发生什么？框架src在CSP 2中已被弃用，所以Chrome可能会忽略它？检查浏览器收到的标题