Security 如何允许具有内容安全策略(CSP)的iframe
我正在为我的网站设置内容安全策略(CSP)。在过去的几周里,我一直在使用它,没有任何问题。我已经成功集成了外部脚本和其他各种东西 今天我想集成一个第三部分日历预订系统(Calendly)。他们使用一个iframe作为弹出窗口,在我的一生中,我无法在安全策略上接受它 我一直在犯这个错误 “拒绝框接'url to calendly',因为它违反了以下内容安全策略指令:“frame src” 我已经厌倦了将其添加到框架src组件中Security 如何允许具有内容安全策略(CSP)的iframe,security,iframe,content-security-policy,Security,Iframe,Content Security Policy,我正在为我的网站设置内容安全策略(CSP)。在过去的几周里,我一直在使用它,没有任何问题。我已经成功集成了外部脚本和其他各种东西 今天我想集成一个第三部分日历预订系统(Calendly)。他们使用一个iframe作为弹出窗口,在我的一生中,我无法在安全策略上接受它 我一直在犯这个错误 “拒绝框接'url to calendly',因为它违反了以下内容安全策略指令:“frame src” 我已经厌倦了将其添加到框架src组件中 frame srchttps://assets.calendly.co
frame srchttps://assets.calendly.com;框架src“self”https://assets.calendly.com;框架src“self”https://assets.calendly.com “不安全内联”;frame srchttps://assets.calendly.com “临时大量数字”;框架src“self”https://assets.calendly.com “临时大量数字”;child srcContent-Security-Policy:
script-src 'nonce-4dfb7738f82d40efc1b73a80491d6dd0bb839173' 'unsafe-inline'; object-src 'none';
default-src 'nonce-77184b203c574dfd8ecc7fac417bf078242d4657';
img-src 'self' https://www.google-analytics.com www.google-analytics.com https://stats.g.doubleclick.net;
style-src 'self' https://assets.calendly.com;
font-src 'self';
connect-src 'self' https://www.google-analytics.com www.google-analytics.com https://stats.g.doubleclick.net;
base-uri 'none';
child-src https://assets.calendly.com;
frame-src https://assets.calendly.com;
要使Calendly在您的网站上工作,您需要添加以下CSP规则:
frame-src https://calendly.com;
script-src https://assets.calendly.com;
style-src 'unsafe-inline';
所以事实证明答案很简单。我直接联系了calendly,简单的解决办法是更改我添加的url。
https://calendly.com所以你给@andrii的url是正确的-谢谢。但是使用“不安全内联”是不可取的。在任何来源上使用它都会使你的CSP几乎毫无意义。原因不在你的CSP策略中,所以你不能在CSP策略中修复它。原因是
https://assets.calendly.comx-frame-options:denyhttps://assets.calendly.com