Reactjs Optimizely Web中具有内容安全策略头的DomeException_Reactjs_Express_Content Security Policy_Ab Testing_Optimizely

Reactjs Optimizely Web中具有内容安全策略头的DomeException

reactjs express

Reactjs Optimizely Web中具有内容安全策略头的DomeException,reactjs,express,content-security-policy,ab-testing,optimizely,Reactjs,Express,Content Security Policy,Ab Testing,Optimizely,在一个项目中，我们使用优化的Web实验集成进行a/B测试。Optimizely Web附带了一个非常好的Web编辑器，允许您直接在浏览器中修改a/B测试的变体现在，出于安全考虑，我们决定引入X-Frame-OptionsHTTP响应头，以防止将应用程序加载到iFrame中。当然，这也会阻止Optimizely Web编辑器加载我们的页面，因此我们无法再修改变体因此，我开始使用内容安全策略标题并设置以下值： default-src * 'unsafe-inline' 'unsafe-eval'

在一个项目中，我们使用优化的Web实验集成进行a/B测试。Optimizely Web附带了一个非常好的Web编辑器，允许您直接在浏览器中修改a/B测试的变体

现在，出于安全考虑，我们决定引入

X-Frame-Options

HTTP响应头，以防止将应用程序加载到iFrame中。当然，这也会阻止Optimizely Web编辑器加载我们的页面，因此我们无法再修改变体

因此，我开始使用

内容安全策略

标题并设置以下值：

default-src * 'unsafe-inline' 'unsafe-eval' data:; frame-ancestors 'self' app.optimizely.com www.optimizelyedit.com;

我知道这不是超级安全的，但我只想让Optimizely Web编辑器加载我的页面

当我现在将我的页面加载到Web编辑器中时，我没有收到任何关于违反内容安全策略的警告。相反，我得到了一个

DOMException

webapp正在使用React.js和Express。静态资产通过不同的域交付。

DOMException

只发生在Optimizely Web编辑器中，似乎是从第二个域传递的

app.js

中抛出的

Uncaught DOMException: Blocked a frame with origin "https://www.host-a.de" from accessing a cross-origin frame.

app.js

的

内容安全策略

标题与引用该JavaScript文件的初始HTML页面的标题完全相同

我真的不明白，为什么我只在Opimizely Web编辑器中得到这个

DomeException

，而当我加载没有它的页面时，我也不知道如何防止它。你有什么想法吗？

原来

DOMException

不是由

内容安全策略

标题引起的。即使关闭了安全头，我也会得到错误