内容安全策略、X-Frame-Options 和 localhost

【问题标题】:Content Security Policy, X-Frame-Options, and localhost内容安全策略、X-Frame-Options 和 localhost
【发布时间】:2017-10-16 13:31:36
【问题描述】:

关于X-Frame-Options 和/或Content-Security-Policy: frame-ancestors 的101 题:如果打算在本地机器上使用iframed 生产站点(我可以在其上调整标题)开发应用程序,他们是否必须添加@987654323 @ 到frame-ancestorsContent-Security-Policy? X-Frame-Options SAMEORIGIN 根本不起作用吗?

【问题讨论】:

    标签: iframe content-security-policy x-frame-options


    【解决方案1】:

    您可能希望从框架响应中去除这些标头,这样它们就不会阻止呈现。

    在本地,唯一适用的是 frame-src 进入 localhost 响应,允许您嵌入生产站点(根本不设置 csp 也可以)。

    【讨论】:

    • 你会用什么方法来去除标题?如果这只是页面上的<iframe />,我真的没有机会进行标题剥离吗?
    • 您需要使用删除标头的代理(例如 Charles 代理)或浏览器扩展。似乎有一些专门删除 x-frame-options 的 chrome 扩展,但我没有尝试过,所以我不能推荐任何。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2020-11-08
    • 1970-01-01
    • 2017-09-30
    • 1970-01-01
    • 2021-10-13
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode