通过 CSP 阻止多个嵌套的 frame-src

问题描述 投票:0回答:0

如果父页面要屏蔽某些嵌套的框架源,可以使用内容安全警察

frame-src
。但如果框架本身包含其他框架,我想阻止某些嵌套框架源。这可以通过 CSP 实现吗?

例如:

  • parent.com
    <html><head><meta http-equiv="Content-Security-Policy" content="frame-src child.com"></head><iframe src="child.com"></iframe></html>
  • child.com
    <html><iframe src="grandchild.com"></iframe></html>
  • grandchild.com
    <html><script>alert('xss');</script></html>

在上述情况下,我希望能够加载 

child.com
但随后阻止 
child.com
上与我的 CSP 不匹配的任何帧。

iframe content-security-policy
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.