内容安全策略和域通配符

时间:2019-10-31 11:32:48

标签: content-security-policy

我想允许外部网站嵌入我网站中的iframe。 我已经使用框架祖先(https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors)设置了内容安全策略。

需要允许的网站具有以下格式:

  • example.com
  • subdomain1.example.com
  • subdomain2.example.com

使用通配符设置iframe祖先是否足够:

frame-ancestors *.example.com

还是我也需要公开列出example.com:

frame-ancestors *.example.com example.com

Spec说:http://*.example.com: Matches all attempts to load from any subdomain of example.com using the http: URL scheme. 我不确定在这种情况下example.com是否也被视为此类子域。

0 个答案:

没有答案
相关问题
最新问题