我正在开发一个salesforce应用程序,它在salesforce页面的iframe中呈现。使用node express server呈现此页面。作为安全审查的一部分,我想只在salesforce页面中进行渲染,如果嵌入其他任何地方则阻止。
为此,我添加了content-security-policy标头,如下所示:
response.header("Content-Security-Policy", "frame-ancestors salesforce.com");
但它也在salesforce页面上被阻止了。
错误:
拒绝在框架中显示'https://localhost:8000/authenticate',因为祖先违反了以下内容安全政策指令:“frame-ancestors salesforce.com”。*
我的iframe正在渲染的salesforce app url:https://ap4.salesforce.com/0016F00001vmoMu
我尝试在指令中将域名作为*.salesforce.com
。但它也没有用。
有人可以帮助我在哪里做错了吗?
设置此策略使其能够在所有浏览器中呈现
add_header Content-Security-Policy "frame-src 'self' https://salesforce.com;"