我们有一个当前部署在客户网站上的 iframe。我们使用 CSP frame-ancestors 指令来限制 iframe 的部署方式和位置。例如:
Content-Security-Policy: frame-ancestors 'self' some-customer.com another-customer.com;
不幸的是
some-customer.com
和another-customer.com
被泄露,表明我们的客户正在部署我们的服务。
有没有办法在保持 iframe 安全的同时防止这种情况发生?