如果父页面要屏蔽某些嵌套的框架源,可以使用内容安全警察
frame-src
。但如果框架本身包含其他框架,我想阻止某些嵌套框架源。这可以通过 CSP 实现吗?
例如:
parent.com
<html><head><meta http-equiv="Content-Security-Policy" content="frame-src child.com"></head><iframe src="child.com"></iframe></html>
child.com
<html><iframe src="grandchild.com"></iframe></html>
grandchild.com
<html><script>alert('xss');</script></html>
在上述情况下,我希望能够加载
child.com
但随后阻止 child.com
上与我的 CSP 不匹配的任何帧。