如果我理解正确,则iframe和CSP之间的交互如下:
src
属性,则将尊重源本身提供的任何CSP(如果源没有CSP标头,则不遵循任何策略)。srcdoc
属性,则将遵守包含页面的CSP。如果我理解正确,src
意味着浏览器将从URL中获取内容,而srcdoc
意味着iframe的代码将嵌入在{{1} }属性。
在我公司的网站上,我们收到了来自Google的广告,它们像这样注入了iframe:
我看到iframe元素具有srcdoc
属性,该属性似乎没有任何值。没有srcdoc
属性。
问题1。是否只是一个浏览器怪癖,src
的值是一个空字符串? (但iframe确实是非空的。)
问题2。。如果此src的内容来自srcdoc
,则表示我将维护与这些广告兼容的CSP。它是否正确?有更好的方法吗?