我正在从X-Frame-Options迁移到内容安全策略以修复点击劫持漏洞。我的应用程序用于在SAMEORIGIN标头中设置X-Frame-Options策略。 Content-Security-Policy中的等效选项是什么?
答案 0 :(得分:2)
X-Frame-Options: SAMEORIGIN➡Content-Security-Policy: frame-ancestors 'self'
MDN CSP: frame-ancestors文章有更多详情。
https://w3c.github.io/webappsec-csp/#frame-ancestors-and-frame-options说:
此指令类似于多个用户代理已实现的
X-Frame-Options标头。 'none'源表达式大致相当于该标题的DENY,'self'到SAMEORIGIN,等等。