如果我的内容安全策略如下所示:
default-src 'self'
script-src 'self'
frame-src 'unsafe-inline'
我有一个网页,里面有一个框架,框架指向一些外部来源。此框架运行的脚本来自与框架中其他所有内容相同的原点。
我真的不明白这些会如何互相影响。我的脚本和框架设置是否会以任何方式相互冲突,或者是否允许使用frame-src来运行脚本?
答案 0 :(得分:2)
您只能在CSP中的'unsafe-inline'
,default-src
或script-src
指令中设置style-src
。它在frame-src
或child-src
中无效,因为frame-src
现已弃用。
加载框架时,您无法对其设置任何CSP限制,因为如果存在,它将遵守主机设置的CSP。