内容 - 安全 - 政策+框架 - 祖先

时间:2014-09-24 11:52:39

标签: cross-domain

我正在尝试阻止将我的内容加载到IFrame中,因此我实现了Content-Security-Policy标头:

Response.AddHeader("Content-Security-Policy", "frame-ancestors *.twitter.com");

为了在各种浏览器中进行测试,我将其设置为twitter,希望当我构建我的内容时,它会破坏。

但是我在Chrome中收到以下警告但内容仍然显示。

  

拒绝在a中显示“http://corsupport.azurewebsites.net/sandbox   框架,因为祖先违反了以下内容安全性   政策指令:“frame-ancestors * .twitter.com”。

这项政策相当新,所以任何建议都会很棒。

我已成功实施

Response.AddHeader("Access-Control-Allow-Origin", 'http:localhost:61021');

1 个答案:

答案 0 :(得分:1)

它实际上是一个chrome bug,现在应该在开发频道修复。

https://code.google.com/p/chromium/issues/detail?can=2&start=0&num=100&q=&colspec=ID%20Pri%20M%20Iteration%20ReleaseBlock%20Cr%20Status%20Owner%20Summary%20OS%20Modified&groupby=&sort=&id=129139

相关问题
最新问题