内容 - 安全 - 政策+框架 - 祖先

时间:2014-09-24 11:52:39

标签: cross-domain

我正在尝试阻止将我的内容加载到IFrame中,因此我实现了Content-Security-Policy标头:

Response.AddHeader("Content-Security-Policy", "frame-ancestors *.twitter.com");

为了在各种浏览器中进行测试,我将其设置为twitter,希望当我构建我的内容时,它会破坏。

但是我在Chrome中收到以下警告但内容仍然显示。

  

拒绝在a中显示“http://corsupport.azurewebsites.net/sandbox   框架,因为祖先违反了以下内容安全性   政策指令:“frame-ancestors * .twitter.com”。

这项政策相当新,所以任何建议都会很棒。

我已成功实施

Response.AddHeader("Access-Control-Allow-Origin", 'http:localhost:61021');