Chrome声称没有设置内容安全策略指令frame-src,但它是

mrwjdhj3  于 2023-09-28  发布在  Go
关注(0)|答案(1)|浏览(108)

正如你可以在屏幕截图中看到的,我想通过iFrame加载一个页面。

<!doctype html>
<html>
    <head>
        <title>XXXX</title>
        <meta http-equiv="Content-Security-Policy" content="frame-src apexXXXX.XXXXXXXX.net">
        <link rel="stylesheet" href="style.css">
    </head>
    <body>
        <iframe src="https://apexXXXX.XXXXXXXX.net/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"></iframe>
    </body>
</html>

对我来说,我不明白为什么Chrome拒绝这样做。即使当我用途:

<meta http-equiv="Content-Security-Policy" content="default-src *">

出现相同的错误消息。当然,我也尝试了几个http前缀或尾随斜杠。我做错了什么?
BR &谢谢!
约翰
(我花了几个小时阅读类似的帖子,所以不应该有重复)

qc6wkl3g

qc6wkl3g1#

张贴@granty的评论作为答案,因为它很重要。
可以使用HTTP头或Meta标记,不能同时使用不同的规则。
这意味着,如果HTTP服务器添加了头,Meta标记将不会覆盖它

相关问题