Content-Security-Policy
이 서버에 의해 반환 된 X-Frame-Options
을 무시합니까? 아니면 여전히 X-Frame-Options
입니까?X-Frame-Options에서 Content-Security-Policy는 어떻게 작동합니까?
내가 가지고 있다고 가정 : X-Frame-Options: DENY
- 웹 사이트 http://a.com 및
Content-Security-Policy: frame-src a.com
의지 브라우저 하중이 프레임을 가진 웹 사이트 http://b.com를?
불분명 함.
한편, http://a.com은 프레이밍을 명시 적으로 거부합니다.
한편, http://b.com은 http://a.com에 대한 프레이밍을 명시 적으로 허용합니다.
"frame-src CSP 지시문 (더 이상 사용되지 않으며 child-src로 대체 됨)"-이 명령문의 원본은 무엇입니까? – sapy
https://www.w3.org/TR/CSP2/#directive-frame-src - "frame-src 지시문은 사용되지 않습니다. 중첩 된 탐색 컨텍스트를 제어하려는 작성자는 대신 child-src 지시문을 사용해야합니다." CSP3 - https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-src#Specifications 및 https : //에서 사용되지 않을 것으로 예상됩니다. www.w3.org/TR/CSP/#directive-child-src –
예, 파이어 폭스는 그것을 존중하지 않았습니다. 지난 몇 달 전에 확인했지만, 지금은 예상대로 작동합니다. –