我使用的是firefox 84.0.2版本。我正在创建一个节点web应用程序,托管在https://parent.example.com用于返回响应头为:CCD_ 1。但我可以在iframe中打开URL,而不是https://child.example.com从…起https://parent.example.com在firefox中。
但正如头球所暗示的那样,它应该被挡出。同样的东西在铬合金中也能很好地工作。
我做了一些研究,发现CSP:frame-src和CSP:child-src之间存在混淆。在某些地方,建议同时使用两个标头。(参考:如何在Firefox和其他浏览器中使用框架src和子src?以及(。因此,我将这两个指令添加为:Content-Security-Policy: frame-src https://child.example.com; child-src https://child.example.com但是,我仍然没有成功。那么,有人能告诉我如何让事情在萤火虫中发挥作用吗?
您在Firefox中安装了一些影响CSP头的插件
因为Firefox 84肯定会阻止frame-src指令中不允许的任何iframe。
你能给我看看你的HTML中frame-src没有按预期工作吗?