Ser*_*nov 5 security firefox frame x-frame-options content-security-policy
frame-ancestors指令废弃了X-Frame-Options标头.如果资源同时具有两个策略,则应该强制执行frame-ancestors策略,并且应该忽略X-Frame-Options策略.
因此,根据我的理解,如果两者Content-Security-Policy和X-Frame-Options标题都存在,那么X-Frame-Options应该被忽略.
我有一个带有两个标题的Web应用程序,看起来像Firefox 38忽略Content-Security-Policy标题并使用X-Frame-Options标题代替.
我的示例标题是:
Content-Security-Policy:frame-ancestors 'self' local.com *.local.com
X-Frame-Options:Allow-From http://local.com
我希望我的框架可以从local.com和所有子域访问.Local.com就是一个例子.如果X-Frame-Options标题存在,那么它只允许http://local.com,但如果我删除它,那么Firefox使用Content-Security-Policy标题并适用于域和子域.
这是否意味着Firefox没有实现这一部分?或者它只是太新的规范而且Firefox还没有实现它?有没有其他方法可以强制Content-Security-Policy使用标头?
我知道Chrome工作正常,Content-Security-PolicyIE可以正常使用X-Frame-Options,但看起来我无法组合两个标头,因为Firefox的工作方式不正确.
一种可能的方法是X-Frame-Options仅针对IE 发送,而Content-Security-Policy针对所有其他方式,但是有更好的方法吗?
谢谢!
| 归档时间: |
|
| 查看次数: |
9665 次 |
| 最近记录: |