我有一个启用SSL的公开网站 - https://server1.com
我有另一个公开的,未启用SSL的网站 - http://subdomain.server2.com
我已将第一个网站的 Content-Security-Policy 设置为:
Content-Security-Policy: frame-ancestors 'self' 'http://*.server2.com
我在服务器2上有一个页面,它在iframe中加载服务器1上的页面,但是我收到了错误
拒绝展示' https://www.server1.com/some_page'在一个框架中,因为祖先违反了以下内容安全政策指令:"框架 - 祖先' self' HTTP://*.server2.com" ;.
关于为什么这不起作用的任何想法?我假设我不具备我的框架 - 祖先值的写入格式,但我在网上找到的所有内容似乎都告诉我这是正确的。