我正在为一家公司工作,担任外部研究员。他们给了我一个vpn,rsa令牌和凭据,以访问他们的在线门户,该门户包含其项目上的网页。我正在构建Flask应用程序,我想将其页面嵌入框架中,但CSP拒绝此操作。目前,该工具在本地运行,我永远不会将其放在生产或测试服务器上。在框架中,出现一条消息而不是页面内容,内容为:
受内容安全策略的限制:此页面具有内容安全策略,可防止以这种方式加载该页面。 Firefox阻止以这种方式加载此页面,因为该页面具有禁止使用此内容的内容安全策略。
当控制台消息显示:
Content Security Policy: Ignoring 'x-frame-options' because of 'frame-ancestors' directive
我对CSP不确定,我只是读了几篇有关该主题的页面。由于我可以通过浏览器(如该工具的所有未来用户)访问他们的页面,是否有解决方案将这些页面嵌入框架?
答案 0 :(得分:0)
CSP由您自己的浏览器强制执行。有些浏览器插件会禁用您浏览器的CSP。例如:
https://chrome.google.com/webstore/detail/disable-content-security/ieelmcmcagommplceebfedjlakkhpden
...尽管就您而言,即使您关闭了CSP,也可能会违反x-frame-options标头
答案 1 :(得分:0)
您需要要求他们使用frame-src允许您的项目URL / IP,例如:
<meta http-equiv="Content-Security-Policy" content="frame-src 'self' *.YourProjectURL.com;">