技术频道


Nginx CSP 关于 iframe 的一个设置

默认情况下,配置 Nginx 都加入如下配置:

add_header X-Frame-Options SAMEORIGIN;

但有的时候业务需要 iframe,但又不希望全部放开 iframe 的情况下,可以配置某一个:

 # 添加以下内容,仅允许 sub.commandnotfound.cn iframe
add_header Content-Security-Policy "frame-ancestors 'self' https://sub.commandnotfound.cn";
Nginx 的 IFRAME 的坑:注意有些配置说通过 ALLOW-FROM 是不对,这个早已废弃,不要再使用了。
ALLOW-FROM uri - 已弃用 这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。请注意,在旧版 Firefox 上,它会遇到与 SAMEORIGIN 相同的问题——它不会检查 frame 所有的祖先页面来确定他们是否是同一来源。Content-Security-Policy HTTP 首部有一个 frame-ancestors 指令,你可以使用这一指令来代替。

Nginx IFRAME 扩展阅读:


 

CommandNotFound ⚡️ 坑否 - 其他频道扩展阅读:



发表评论