CSP 框架祖先通配符使用失败

问题描述 投票:0回答:1

我需要将我的网站列入白名单,以免仅针对某个特定域进行 iframe。 访问通配符的网址将类似于 https://app.domain.com/project/123/456

https://app.domain.com/project/123部分始终保持不变,但结局会改变。

我尝试实现下面的frame-ancestor指令,但它失败并在浏览器中出现错误。

frame-ancestors 'self'

https://app.domain.com/project/123/*;

我得到的错误是

拒绝框架“https://yourdomain.cloud/” 因为祖先违反了以下内容安全策略 指令:“框架祖先‘自我’

https://app.domain.com/project/123/*".

通配符仅适用于子域、端口级别吗?

html http-headers content-security-policy x-frame-options
1个回答
0
投票
通配符必须在前。请检查此链接:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors

按名称或 IP 地址以及可选 URL 表示的互联网主机 方案和/或端口号,以空格分隔。该网站的地址可能是 包括可选的

leading 通配符(星号字符, ''),并且您可以使用通配符(再次,'')作为端口号, 表明所有合法端口对于源均有效。单身的 不允许引用主机周围的内容

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.