我正在尝试对pdf进行内联,通过AJAX检索pdf很好,因为服务器已启用COR(已验证我已通过devtools重新获得了pdf)。
但是由于以下错误,结果无法嵌入到iframe中:
Refused to frame '<SERVER_DOMAIN>' because it violates the following Content Security Policy directive: "default-src 'none'". Note that 'frame-src' was not explicitly set, so 'default-src' is used as a fallback.
所以我在页面上添加了以下元标记:
<meta http-equiv="Content-Security-Policy" content="default-src 'self' <SERVER_DOMAIN>">
但是仍然不起作用。该如何解决?
答案 0 :(得分:0)
自从您说添加元标记以来,这意味着您必须已经从其他来源获得了CSP。
请参见MDN:
添加其他策略只能进一步限制受保护资源的功能,这意味着将不允许连接,并且作为最严格的策略,将强制执行connect-src'none'。
您需要编辑 existing 策略以删除限制。您无法通过添加其他方法来做到这一点。