腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
3
回答
用限制性
内容
安全策略
将
iframe
注入页面
、
Chrome没有一流
的
侧边栏,因此我们必须在页面中添加一个
iframe
。但是,由于
内容
安全策略
,这在许多页面上会中断。例如,GitHub使用
CSP
,它不
允许
将来自其他站点
的
iframes嵌入其中。例如,如果您试图将capitalone.com网站放在GitHub上
的
iframe
中,您将得到以下
内容
: 拒绝帧'‘,因为它违反了以下
内容
安全策略
指令:“frame '
浏览 14
提问于2014-07-08
得票数 50
回答已采纳
3
回答
如何
允许
具有
内容
安全策略
(
CSP
)
的
iframe
、
、
我正在为我
的
网站设置
内容
安全策略
(
CSP
)。在过去
的
几周里,我一直在几个网站上使用它,没有任何问题。外部脚本和其他各种我已经成功集成
的
东西。他们在弹出窗口中使用
iframe
,而在
安全策略
上,我不能让它被接受。我一直收到这样
的
错误:“拒绝框架'url- to -calendly‘,因为它违反了以下
内容
安全策略
指令:" frame -src”…… 我已经试着将其添加到frame-sr
浏览 45
提问于2019-03-20
得票数 7
2
回答
设置
内容
-
安全策略
,以便其他站点可以在
iframe
中嵌入特定
的
pdf文件。
、
、
在我们
的
IIS网站上,有一个PDF文件,我们需要它
允许
其他站点在
iframe
中显示。当前,web.config中
的
内容
安全策略
如下:<httpProtocol> <add name="Content-Security-Policy由于我在任何地方都找不到答案,所以我试图妥协,并在pdf文件
的
子目录中创建了另一个web.config:
浏览 11
提问于2021-01-12
得票数 0
2
回答
CSP
是来自一个加载在
iFrame
中
的
站点,还是只是我
的
?
、
如果我要在
iFrame
中加载另一个站点,那么该站点
的
内容
安全策略
标头是否会对站点是否被阻塞产生任何影响?例如,如果我在一个中打开
iFrame
,我
的
站点上
的
CSP
头设置和google.com上
的
设置之间是否有任何交互?或者谷歌
的
CSP
只会影响他们试图在
iFrame
中加载
的
内容
。当然,如果谷歌有自己
的
iFrames,他们将需要<em
浏览 14
提问于2022-07-07
得票数 1
1
回答
是否可以让
CSP
只应用于父帧,而不应用于任何iframes?
、
、
、
如果我有一个
CSP
设置为:或者类似的,我有这样
的
一个
iframe
:<
iframe
sandbox="allow-scripts" srcdoc="<script>alert('arbitrary code')</script>"></
iframe
&g
浏览 3
提问于2015-05-24
得票数 7
回答已采纳
1
回答
用沙箱从Chrome应用程序中发出ajax请求
、
、
、
我试图从我
的
chrome应用程序中
的
沙箱页面进行ajax调用,但我得到了以下错误: <html> <
iframe
sandbox=
浏览 3
提问于2015-02-17
得票数 1
回答已采纳
1
回答
如何
修复“
内容
安全策略
-包含无效
的
源”错误?
我得到了这个错误,我不知道为什么,我包括
的
脚本工作吗?只有当我加载子页面时,错误才会出现。当我加载开始页时不会。那么我做错了什么呢?' https://checkout.dibspayment.eu https://www.google-analytics.com https://maps.google.com;"> 真的很感谢你
的
意见
浏览 0
提问于2020-12-02
得票数 7
回答已采纳
1
回答
Looker
CSP
问题:无法在
iframe
中加载looker报告
、
、
我使用
iframe
在我们
的
angular应用程序中加载looker仪表板,但得到以下错误。 拒绝框架'‘,因为它违反了以下
内容
安全策略
指令:"default-src 'self'“。
浏览 2
提问于2021-02-23
得票数 1
1
回答
嵌入式
内容
安全策略
(
CSP
)强制执行是否破坏了“常规”
CSP
?
、
、
、
我最近读了一篇关于嵌入式
内容
安全策略
(
CSP
)
的
W3C工作草案。除非我完全理解错了,否则这个嵌入
CSP
不会完全破坏
CSP
的
基本原理吗?在可以注入HTML (使用
iframe
)或JS (XSS)
的
情况下,您可以设置这样
浏览 0
提问于2017-06-22
得票数 2
回答已采纳
1
回答
iframe
中角用户界面的跨域加载
、
、
、
、
问题是,我们无法对内部IDP服务器
的
规则进行自定义修改,以便
允许
外部合作伙伴域在
iframe
()中有效调用。这将导致我们获得与无效
的
内容
安全策略
相关
的
错误,因为外部合作伙伴域不在
CSP
的
允许
域列表中。如果我们从内部公司域中(
CSP
允许
)在
iframe
中提供这个UI,那么它就能正常工作。假设我们必须从合作伙伴网站内内联(
iframe
或其他)加载我
浏览 2
提问于2021-12-07
得票数 0
回答已采纳
1
回答
CSP
框架-祖先
如何
支持Android Cordova应用程序
、
、
、
、
我在webserver frame-ancestors: 'self'上添加了
CSP
配置。目前,我有另一个Android应用程序,并在JS文件中使用
iframe
标记加载上述网站页面,如下所示:<
iframe
src="https://www.exapleA.com/test/"></
iframe
>但我得到
的
CSP
错误如下: 拒绝在帧中显示“”,因为祖先违反了以下
浏览 2
提问于2018-05-22
得票数 0
1
回答
如何
从
iFrame
调用Javascript函数?
、
1.html将从
iframe
调用2.html。2.html定义了2个javascript函数。{ .....} func1(a, b, c);HTML现在我
的
问题是2.html必须在
iframe
内执行。
浏览 1
提问于2017-04-05
得票数 1
1
回答
内容
-安全性-策略:默认-src*
、
、
我开始在一个使用内联脚本和其他犯罪
的
网站上探索
内容
安全策略
。我将每个头字段配置为
CSP
,如下所示:我现在
的
问题是浏览器抱怨下面的消息: 我阅读了
浏览 1
提问于2018-01-03
得票数 3
回答已采纳
1
回答
通过html页面中
的
iframe
加载HTTPS URL
、
、
、
、
我有这个项目,这是一个HTML页面,并希望通过
iframe
加载HTTPS
的
网址,我怎么做?我得到这样
的
错误:拒绝框架'https://www.google.com/‘,因为它违反了以下
内容
安全策略
指令:"default-src 'self'“。
浏览 256
提问于2020-12-17
得票数 0
回答已采纳
1
回答
如果没有在事件帖子上加载
我
的
驻地顾问的如果我不会装货
的
。它以前没有问题加载,Soundcloud嵌入仍然有效。
iframe
就在图像
的
上方。<
iframe
src="https://www.residentadvisor.net/widget/event/1129341/tickets" height="400" width="500" frameborder="0" /&g
浏览 0
提问于2018-07-17
得票数 0
回答已采纳
1
回答
用于动态加载CSS
的
CSP
、
、
因此,我从第三方将一个JavaScript文件加载到我
的
应用程序中,这会将一个
iframe
注入到页面上。当
iframe
加载时,它会加载自己
的
JavaScript,从而在父窗口中创建一个内联样式标签。由于这个流,我必须在style-src指令
的
内容
安全策略
中使用"unsafe-inline"。有没有像strict-dynamic这样
的
工具可以处理像这样加载
的
样式?或者,有没有某种解决方案可以让我不必在
CSP<
浏览 10
提问于2018-02-06
得票数 3
1
回答
使用
iframe
呈现用户提供
的
html代码
、
、
、
、
我想嵌入用户提供
的
HTML代码在我
的
网站。代码将是自包含
的
,并将包含script和style标记.我计划使用Content Security Policy头阻止所有网络调用。代码只能访问标准库(如jquery和其他标准资源)(在
CSP
中也将指定相同
的
代码)。我希望限制
iframe
内容
和父域之间
的
任何通信。 我
的
计划是使用<
iframe
>嵌入
内容
。用户将提供一个输入,然后单击一个按钮,就会
浏览 0
提问于2021-06-02
得票数 5
回答已采纳
2
回答
无法在Cordova上加载Stripe 3ds
iframe
、
、
、
自从我更新到cordova 10、android@9.1和ios@6.2之后,我就不能再为3ds加载
iframe
了。意图是正确设置和我收到3ds短信在我
的
手机,但我看不到iFrameContent。我试图在index.html中更改
内容
-
安全策略
,在config.xml中更改
允许
导航。
CSP
的
: http-equiv="Content-Security-Policy"
浏览 3
提问于2021-10-27
得票数 4
回答已采纳
1
回答
内容
问题-安全性-策略,下一个JS和AMP
、
、
、
我正在使用Next JS开发一个AMP应用程序,它在本地主机上工作得很好,但是在生产中我有来自AMP
的
错误,它不
允许
加载它
的
工作人员。最初
的
错误是: 拒绝从'blob:‘创建一个工作人员,因为它违反了以下
内容
安全策略
指令:“缺省-src*数据:’不安全-eval‘’不安全-内联‘”。好
的
,我理解这个错误,我可以看到下一个JS默认发送
的
头是default-src * data: 'unsafe-eval' 'uns
浏览 0
提问于2020-08-31
得票数 0
回答已采纳
1
回答
为什么https://localhost:4321/temp/workbench.html在用gulp服务执行SharePoint项目时不能工作
、
、
、
、
当我吞食服务时,它应该加载它所做
的
sharepoint端和本地主机工作台,但是最后一个错误给出了一个我不知道
如何
解决
的
CSP
错误。这是一个错误: 拒绝加载脚本'‘,因为它违反了以下
内容
安全策略
指令:"default-src 'none'“。请注意,“script-src”没有显式设置,因此“default-src”用作回退。
浏览 9
提问于2022-01-13
得票数 0
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
与网站安全有关的5个Header
谷歌Chrome的“混合内容”更新将会影响电商网站,自建站卖家如何应对?
Heavy Reading调查帮助CSP振奋信心!用新办法确保云和5G的安全
利用CSS注入窃取CSRF令牌
TCTF/0CTF2018 XSS Writeup
热门
标签
更多标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
活动推荐
运营活动
广告
关闭
领券