到目前为止,我正在使用X-Frame-Options SAMEORIGIN在iframe中加载网站的某些部分。到目前为止,该方法仍然有效,但是现在我想将某些域列入白名单,并且遇到了Content-Security-Policy标头。
我尝试使用Content-Security-Policy frame-ancestors https://my-site.com 'self'。如果我想将网页加载到my-site.com上的iframe中,则不会加载该页面,但是如果我从同一域中加载iframe,它确实可以工作。它不应该允许my-site.com也从iframe加载到网站中吗?