我正在尝试在我的Firefox访问者的iframe中加载外部网站。外部页面加载了javascript,我希望将其删除。对于Chrome,HTML5 sandbox =“”工作正常,而使用IE,security =“restricted”可以很好地完成工作。使用Firefox,我很挣扎。
我一直在使用here所描述的CSP策略指令,但我似乎无法获得正确的配置。以下行将加载页面,但外部站点上的javascript仍会加载。
header("X-Content-Security-Policy: allow 'self'; object-src 'self'; script-src 'self'; frame-src *.externalsite.com; img-src 'self'");
我已经尝试了许多其他配置,似乎已经碰到了一堵砖墙。这是否适用于CSP指令?我是否应该在其他地方寻找允许外部网站在Firefox中加载iframe sans javascript?这在Firefox中是否可行?