Content Security Policy specification saysX-Frame-Options và Content-An ninh-Chính sách cho khung trong Firefox
Chỉ thị khung tổ tiên obsoletes X-Frame-Options tiêu đề. Nếu tài nguyên có cả hai chính sách, chính sách khung tổ tiên NÊN được thực thi và chính sách X-Frame-Options NÊN được bỏ qua.
Vì vậy, từ hiểu biết của tôi nếu cả hai Content-Security-Policy và X-Frame-Options tiêu đề là hiện nay, sau đó X-Frame-Options nên bỏ qua.
Tôi có một ứng dụng web có cả hai tiêu đề và có vẻ như Firefox 38 bỏ qua tiêu đề Content-Security-Policy và sử dụng tiêu đề X-Frame-Options thay thế.
tiêu đề mẫu của tôi là:
Content-Security-Policy:frame-ancestors 'self' local.com *.local.com
X-Frame-Options:Allow-From http://local.com
Tôi muốn rằng khung của tôi nên được truy cập từ local.com và tất cả các tên miền phụ. Local.com chỉ là ví dụ. Nếu có tiêu đề X-Frame-Options, thì nó chỉ cho phép http://local.com, nhưng nếu tôi xóa nó, thì Firefox sử dụng tiêu đề Content-Security-Policy và hoạt động tốt cho tên miền và tên miền phụ.
Điều đó có nghĩa là Firefox không triển khai phần này? Hoặc nó chỉ là đặc điểm kỹ thuật quá mới và Firefox chưa thực hiện nó? Có cách nào khác để buộc sử dụng tiêu đề Content-Security-Policy không?
Tôi biết rằng Chrome hoạt động tốt với Content-Security-Policy và IE có thể hoạt động chỉ với X-Frame-Options, nhưng có vẻ như tôi không thể kết hợp cả hai tiêu đề, vì Firefox hoạt động không đúng cách.
Một cách có thể là gửi X-Frame-Options chỉ dành cho IE và Content-Security-Policy cho tất cả các loại khác, nhưng có cách nào tốt hơn không?
Cảm ơn!
tôi nghĩ rằng đó là một cái mới, nhưng hy vọng rằng tôi đã bỏ lỡ một cái gì đó. Vì vậy, có vẻ như tôi sẽ cần phải gửi tiêu đề dựa trên trình duyệt. Cảm ơn câu trả lời! –
Firefox 47.0 - cùng một số – gshilin
Tương tự trên Firefox 50.1 - dường như Mozilla chưa triển khai thông số CSP chính thức. :/ – qJake