我正在开展一个项目,我需要限制iframe显示我们放入原始域以外的任何网址。
例如,我的网站是www.myweb.com。拥有iframe src =" www.yourweb.com"应该防止任何事情继续下去
我尝试在Content-Security-Policy中使用frame-ancestor选项。和X-Frame-Option to SAMEORIGIN / DENY。无济于事,没有任何效果。
有什么想法吗?
答案 0 :(得分:1)
通常,Content-Security-Policy: frame-ancestors 'self'应该有效,但它取决于最终用户浏览器。有关详细信息,请参阅Headers to block iframe loading,然后按照此处的说明尝试两个HTTP标头。
答案 1 :(得分:0)
你可以看一下 - https://developers.facebook.com/docs/messenger-platform/webview/extensions
尤其
X-Frame-Options:ALLOW-FROM https://www.messenger.com/ X-Frame-Options:ALLOW-FROM https://www.facebook.com/