设置script-src'self'和frame-src'unsafe-inline'会相互冲突吗?

时间:2016-07-25 15:26:13

标签: http http-headers content-security-policy

如果我的内容安全策略如下所示:

default-src 'self'
script-src 'self'
frame-src 'unsafe-inline'

我有一个网页,里面有一个框架,框架指向一些外部来源。此框架运行的脚本来自与框架中其他所有内容相同的原点。

我真的不明白这些会如何互相影响。我的脚本和框架设置是否会以任何方式相互冲突,或者是否允许使用frame-src来运行脚本?

1 个答案:

答案 0 :(得分:2)

您只能在CSP中的'unsafe-inline'default-srcscript-src指令中设置style-src。它在frame-srcchild-src中无效,因为frame-src现已弃用。

加载框架时,您无法对其设置任何CSP限制,因为如果存在,它将遵守主机设置的CSP。