我正在使用iframe在其上显示日历。但我不断得到以下内容;
拒绝在相框中显示“https://cal.mixmax.com/user1”因为 祖先违反以下内容安全策略指令: “框架 - 祖先'自我'https://mail.google.com https://inbox.google.com https:// .force.com https:// .mixmax.com“。
我尝试将Content-Security-Policy的元数作为以下内容,但没有运气。
<meta http-equiv="Content-Security-Policy"
content="frame-ancestors 'self'
https://mail.google.com
https://inbox.google.com
https://*.force.com
https://*.mixmax.com">
知道如何克服它吗?
答案 0 :(得分:3)
问题不在于您的错误配置,而是在Mixmax端的CSP指令上。他们的页面上有以下指令:
content-security-policy:
frame-ancestors 'self'
https://mail.google.com
https://inbox.google.com
https://*.force.com
https://*.mixmax.com;;
frame-src:
https://*.stripe.com
https://*.facebook.com
https://*.mixmax.com;;
因此,除非您来自任何列出的域,否则无法构建它。
克服这种情况的一种方法是在您的网站上创建代理,代表客户端访问MixMax,并将数据发送到您的框架,因为CSP仅由客户端强制执行。