因此,我在<iframe>中有一个带有预览的页面。
<iframe>外面的页面上的内容是我的,我知道使用了什么CDN等,因此我可以将它们添加到Content-Security-Policy http标头中,例如:
script-src *.googletagmanager.com *.googleapis.com *.maxcdn.bootstrapcdn.com 'unsafe-inline'
但是,在<iframe>中,我想呈现站点用户的html和js代码的预览。
并且我无法覆盖COntent-Security-Policy的{{1}}内容。
到目前为止,我已经尝试了上述标头的<iframe>,frame-src属性。
child-src如iFrame Sandbox with Content Security Policy中所示。 和谷歌搜索日志。
这是示例代码:
<meta http-equiv="Content-Security-Policy" content="script-src *">
请帮助:)