如果我有一个内容安全策略,如下所示:
default-src 'self'
script-src 'self'
frame-src 'unsafe-inline'
我有一个网页,里面有一个框架,这个框架指向一些外部来源。此框架运行的脚本与框架中的其他内容来自同一原点。
我真的不明白这些会如何相互作用。我的脚本和框架设置会以任何方式相互冲突吗?还是框架src将被允许运行脚本?
您只能在CSP中的default-src、script-src或style-src指令中设置'unsafe-inline'。它在frame-src或child-src中无效,因为frame-src现在已弃用。
加载帧时,您不能对其设置任何CSP限制,因为它将遵守主机设置的CSP(如果存在)。