内容安全政策和iFrame。

时间:2018-03-31 16:11:21

标签: content-security-policy

CSP有frame-src,child-src和frame-ancestors。

不赞成使用frame-src来支持child-src。

child-src和frame-ancestors用于作为CSP 2的一部分的iframe。

所以我只想说iframe只允许来源。

frame-src'self'; child-src'self'; frame-ancestors'self'

那么child-src和frame-ancestors之间的区别是什么?

推测支持CSP2的浏览器需要在frame-src上使用child-src吗?

0 个答案:

没有答案