Raj*_*eev 8 javascript security owasp node.js content-security-policy
我正在开发一个 salesforce 应用程序,该应用程序在 salesforce 页面的 iframe 内呈现。使用 Node Express 服务器来渲染此页面。作为安全审查的一部分,我只想在 salesforce 页面中呈现,如果嵌入到其他地方则阻止。
为此,我添加了内容安全策略标头,如下所示:
response.header("Content-Security-Policy", "frame-ancestors salesforce.com");
但它在 salesforce 页面上也被阻止。
错误 :
拒绝在框架中显示“ https://localhost:8000/authenticate ”,因为祖先违反了以下内容安全策略指令:“frame-ancestors salesforce.com”。*
我的 iframe 渲染的 salesforce 应用程序网址:https://ap4.salesforce.com/0016F00001vmoMu
我尝试按照*.salesforce.com指令给出域名。但它也不起作用。
有人可以帮助我哪里做错了吗?
设置此策略使其能够在所有浏览器中呈现
add_header Content-Security-Policy "frame-src 'self' https://salesforce.com;"
| 归档时间: |
|
| 查看次数: |
38264 次 |
| 最近记录: |