我正在开发一个Salesforce应用程序,该应用程序在Salesforce页面中的iframe中呈现。使用Node Express Server渲染此页面。作为安全审查的一部分,我只想在Salesforce页面上渲染,如果在其他任何地方都嵌入。
为此,我添加了如下内容:
response.header("Content-Security-Policy", "frame-ancestors salesforce.com");
,但它也被封锁在Salesforce页面上。
错误:
拒绝在框架中显示'https://localhost:8000/authenticate',因为祖先违反了以下内容安全策略指令:" frame-ancestors salesforce.com"。*
salesforce应用程序在我的iframe渲染中:https://ap4.salesforce.com/0016f0000001vmomu
我尝试在指令中以*.salesforce.com的形式授予域。但这也没有用。
有人可以帮我做错了吗?
设置此策略启用其在所有浏览器中渲染
add_header Content-Security-Policy "frame-src 'self' https://salesforce.com;"
尝试删除https并添加子域(例如
)add_header Content-Security-Policy "frame-src 'self' www.salesforce.com;"
我得到了这个尝试在框架中打开完整页面,修复程序是标签的目标属性,例如<一个目标=" _top"...
W3学校