Question

我正在开发一个salesforce应用程序，该应用程序在salesforce页面的iframe中呈现。使用node express server呈现此页面。作为安全审查的一部分，我想只在salesforce页面中进行渲染，如果嵌入其他任何地方则阻止。

为此，我添加了content-security-policy标头，如下所示：

response.header("Content-Security-Policy", "frame-ancestors salesforce.com");

但它也在salesforce页面上被阻止了。

错误：

拒绝展示＆＃39; https://localhost:8000/authenticate＆＃39;在框架中，因为祖先违反了以下内容安全策略指令：＆＃34; frame-ancestors salesforce.com＆＃34;。*

我的iframe正在呈现的salesforce app url：https://ap4.salesforce.com/0016F00001vmoMu

我尝试在指令中将域名*.salesforce.com。但它也没有用。

有人可以帮助我，我做错了吗？

Answer 1

设置此策略使其可以在所有浏览器中呈现

 add_header Content-Security-Policy "frame-src 'self' https://salesforce.com;"

Answer 2

尝试删除https并添加子域，如

add_header Content-Security-Policy "frame-src 'self' www.salesforce.com;"

Answer 3

我试图在框架中打开整页时遇到了这个问题，修复是标签的目标属性，例如