F. *_*lio 5 html python jquery flask content-security-policy
我在一家公司担任外部研究员。他们给了我一个 VPN、RSA 令牌和凭据,用于访问他们的在线门户,其中包含有关其项目的网页。我正在构建一个 Flask 应用程序,我想将其页面嵌入到框架中,但 CSP 拒绝此操作。目前这个工具正在本地运行,我永远不会将其放在他们的生产或测试服务器上。在框架中,出现一条消息而不是页面内容,内容如下:
被内容安全策略阻止:此页面具有内容安全策略,可防止以这种方式加载。Firefox 阻止以这种方式加载该页面,因为该页面的内容安全策略不允许这样做。
而控制台消息显示:
Content Security Policy: Ignoring 'x-frame-options' because of 'frame-ancestors' directive
我对 CSP 没有信心,我刚刚阅读了有关该主题的几页内容。由于我可以通过浏览器访问他们的页面(就像该工具的所有未来用户一样),是否有任何解决方案可以将这些页面嵌入到框架中?
小智 -1
您需要要求他们允许您的项目 URL/IP 使用frame-src,例如:
<meta http-equiv="Content-Security-Policy" content="frame-src 'self' *.YourProjectURL.com;">
| 归档时间: |
|
| 查看次数: |
8480 次 |
| 最近记录: |