Nginx CSP 关于 iframe 的一个设置
MARK 一下:通过设置 Content-Security-Policy CSP 头来完成 Nginx 只允许某个域名的嵌入。
默认情况下,配置 Nginx 都加入如下配置:
add_header X-Frame-Options SAMEORIGIN;
但有的时候业务需要 iframe,但又不希望全部放开 iframe 的情况下,可以配置某一个:
# 添加以下内容,仅允许 sub.commandnotfound.cn iframe add_header Content-Security-Policy "frame-ancestors 'self' https://sub.commandnotfound.cn";
Nginx 的 IFRAME 的坑:注意有些配置说通过 ALLOW-FROM 是不对,这个早已废弃,不要再使用了。
ALLOW-FROM uri - 已弃用 这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。请注意,在旧版 Firefox 上,它会遇到与 SAMEORIGIN 相同的问题——它不会检查 frame 所有的祖先页面来确定他们是否是同一来源。Content-Security-Policy HTTP 首部有一个 frame-ancestors 指令,你可以使用这一指令来代替。