那些遇到过的问题

Internet Explorer的内容安全策略(CSP)解决方法

sri*_*sri 6 iframe internet-explorer content-security-policy

我们正在建立一个ASP.NET网站,并希望仅允许一些可以iFrame访问我们网站的域名.Internet Explorer中不支持CSP.我正在设置类似的东西 Response.AddHeader("Content-Security-Policy", "frame-ancestors mydomain1.com mydomain2.com").

每个人如何处理Internet Explorer.我阅读IE支持,X-Content-Security-Policy但它没有frame-ancestors.

此外,我正在删除由IIS添加的默认X-Frame-Options标头

Response.Headers.Remove("X-Frame-Options")
Run Code Online (Sandbox Code Playgroud)

Jul*_*ien 8

Microsoft推荐的解决方案如下:

  1. 内部,白名单domain1.com和domain2.com
  2. 在嵌入iframe网址时,请在指定来源的网址中添加参数:iframe src ="http://example.org/frame.html?origin=http://domain1.com"
  3. 在您的服务器上,检查原始值是否列入白名单.用它来设置X-Frame-Options:ALLOW-FROM http://domain1.com

您也可以检查Referer标头是否存在.

  • 如果我将该 iframe 和列入白名单的参数复制到其他站点会怎样? (3认同)

归档时间:

查看次数:

16137 次

最近记录:

6 年,9 月 前
相关归档
获取iframe中输入字段的值 19
在Internet Explorer中设置textarea选择 15
CSS问题:a:悬停不使用IE(需要css Ninja) 12
Django:IE不加载localhost或加载非常缓慢 8
如何让VML在标准模式下工作? 5
Chrome 扩展程序将具有动态值的脚本注入到具有严格 CSP 的页面中 4
在新窗口中打开iframe内的链接 3
语法错误"transparent"不是'ie-hex-str'的颜色 2
在 Firefox 中使用 javascript 设置 iframe 内容失败 2
在对齐的文本中设置换行符,并且仍然使其对齐 2
难疑归档
什么是Python中的元类? 5409
如何使用JavaScript复制到剪贴板? 3131
如何格式化Microsoft JSON日期? 1954
JavaScript中的'new'关键字是什么? 1684
如何避免JSP文件中的Java代码? 1649
在单个SQL查询中插入多行? 1604
.gitignore被Git忽略了 1407
如何在SQL中使用JOIN执行UPDATE语句? 1262
Pythonic方式创建一个长多行字符串 1160
获取Android上的当前时间和日期 1058