在我的web.config中,我有以下内容:
<system.webServer>
<httpProtocol>
<customHeaders>
<remove name="Content-Security-Policy" />
<add name="Content-Security-Policy" value="script-src 'self' 'unsafe-inline' 'unsafe-eval' *.googleapis.com cdn.raygun.io api.raygun.io; frame-ancestors 'self'" />
在我的代码中,我希望启用嵌入这样的youtube视频:
<iframe width="560" height="315" src="https://www.youtube.com/embed/4rp2aLQl7vg?rel=0" frameborder="0" allow="autoplay; encrypted-media" allowfullscreen></iframe>
我正在使用https://www.cspisawesome.com/来帮助正确设置我的内容安全策略,但是,我做得不好。
我尝试使用frame-src和frame-ancestors进行各种组合。
我的CSP应该如何允许嵌入youtube视频?
谢谢。