对于这些来自Google Ads的广告,iframe和CSP将如何交互?

时间:2019-02-11 16:45:22

标签: iframe google-adwords content-security-policy

如果我理解正确,则iframe和CSP之间的交互如下:

  • 如果iframe具有src属性,则将尊重源本身提供的任何CSP(如果源没有CSP标头,则不遵循任何策略)。
  • 如果iframe具有srcdoc属性,则将遵守包含页面的CSP。

如果我理解正确,src意味着浏览器将从URL中获取内容,而srcdoc意味着iframe的代码将嵌入在{{1} }属性。

在我公司的网站上,我们收到了来自Google的广告,它们像这样注入了iframe:

Google Ads

我看到iframe元素具有srcdoc属性,该属性似乎没有任何值。没有srcdoc属性。

问题1。是否只是一个浏览器怪癖,src的值是一个空字符串? (但iframe确实是非空的。)

问题2。。如果此src的内容来自srcdoc,则表示我将维护与这些广告兼容的CSP。它是否正确?有更好的方法吗?

0 个答案:

没有答案