我们的Apache前端总是添加带有frame-ancestor的CSP标头,该标头基本上只将我们的域列入白名单。但是,我有一个页面,希望任何网站都可以放入iframe中。我不想将想要的人列入白名单。有没有办法设置csp标头以允许这样做?
答案 0 :(得分:-1)
是的,对于特定页面,可以在页面级别设置CSP标头安全性,但是必须使用meta tags in the HTML。只需使用HTML元标记在页面级别提供特定指令即可。这是一个与上述设置相同的政策的示例:
//modify source as needed
<meta http-equiv="Content-Security-Policy" content="default-src 'self'">