我有一个在nginx下运行的Jira实例,我们在nginx中配置了一些CSP。
现在我们正在安装一个生成触发浏览器扩展的链接的应用程序,URL以goedit开头:
应用的供应商建议此CSP标头:
add_header内容安全策略
default-src https: goedit: wss: 'unsafe-inline' 'unsafe-eval';
img-src https: data: 'unsafe-inline'" always;
我现在正在尝试将其合并到我们的 CSP 标头中。 我们的云解决方案提供商标头包括
frame-src '' https://assets.zendesk.com https://www.facebook.com https://$server_name;
当我现在单击该应用程序的链接之一时,我在控制台中收到此错误消息:
拒绝框架'',因为它违反了以下内容安全政策
directive: "frame-src https://assets.zendesk.com https://www.facebook.com https://my-server.dein-james.de".
我想知道:我需要在帧 src 中放入什么才能允许这种链接 (''(?
我宁愿不删除整个frame-src部分,我想将它们保留为白名单。
提前致谢 延斯
我知道这是一个很古老的线程,但我今天遇到了类似的问题。对于我的,我正在使用数据:在对象 src 中,我必须确保数据:然后在帧 src 中。
因此,我会检查在 frame-src 中是否包含任何模式,我怀疑它可能是 goedit: 或 wss: 在你的例子中?
虽然这很旧,但我发现:
- 斯蒂芬的解决方案有效。
- 我遇到过动态 iframe(意思是动态添加的 iframe(试图加载 pdf 以获得漂亮的显示(在 chrome 中(,尽管 scp 包含帧 src 的"self",并且 pdf 来自当前域,但一些用户看不到内容,他们的控制台显示上述错误。弄乱之后,发现在chrome浏览器中只有一个设置可以调整 - 进入设置,搜索" pdf"并找到可以切换pdf的部分,该设置使pdf自动下载,而不是显示在浏览器中。