Comment fonctionne le Contenu de la Politique de Sécurité de travail avec X-Frame-Options?

Ne Content-Security-Policy ignorer X-Frame-Options, renvoyé par un serveur, ou est X-Frame-Options encore en primaire?

En supposant que j'ai:

  • un site web http://a.com avec X-Frame-Options: DENY
  • et un site internet http://b.com avec Content-Security-Policy: frame-src a.com

de navigateur de charger cette image?

Il n'est pas clair.
D'une part, http://a.com refuse explicitement l'encadrement.
D'autre part, http://b.com permet explicitement de l'encadrement pour http://a.com.

OriginalL'auteur Yeldar Kurmangaliyev | 2016-11-02

  1. 28

    La cadre-src CSP directive (qui est obsolète et remplacé par child-src) détermine quelles sont les sources peuvent être utilisées dans un cadre sur une page.

    La X-Frame-Options en-tête de réponse, d'autre part, détermine les autres pages peuvent utiliser cette page dans un iframe.

    Dans votre cas, http://a.com avec X-Frame-Options: DENY indique qu'aucune autre page de l'utiliser dans un cadre. Il n'a pas d'importance ce que http://b.com a dans son DSP-pas de page pouvez utiliser http://a.com dans un cadre.

    L'endroit où X-Frame-Options intersection avec le CSP est par l'intermédiaire de la châssis ancêtres de la directive. À partir de la CSP specificiation (l'emphase est mienne):

    Cette directive est similaire à la X-Frame-Options - tête que plusieurs
    les agents utilisateurs ont mis en œuvre. Le 'none' source de l'expression est
    à peu près équivalente à celle de l'en-tête DENY, 'self' à SAMEORIGIN,
    et ainsi de suite. La différence majeure est que l'utilisateur de nombreux agents en œuvre
    SAMEORIGIN telle qu'il ne corresponde à l'encontre de haut-niveau
    document de l'emplacement. Cette directive vérifie chaque ancêtre. Si tout
    l'ancêtre n'est pas le cas, la charge est annulée. [RFC7034]

    La frame-ancestors directive obsoletes la X-Frame-Options en-tête. Si une ressource a la fois politiques, la frame-ancestors politique DOIT être appliquée et l' X-Frame-Options politique DOIT être ignorée.

    Un âgées question indiqué, cela ne fonctionne pas dans Firefox, à ce moment, mais j'espère que les choses ont changé maintenant.

    Mise à JOUR avril 2018:

    Contenu Politique de Sécurité: Directive " enfant-src’ a été désapprouvée. Veuillez utiliser la directive "travailleur-src" pour les travailleurs de contrôle, ou de la directive ‘cadre-src’ de trames de contrôle, respectivement.

    Ressemble child-src est maintenant obsolète et un frame-src est de retour.

    "L'image src CSP directive (qui est obsolète et remplacé par enfant-src)" - Quelle est la source de cette déclaration ?
    w3.org/TR/CSP2/#directive-frame-src -- "L'image src directive est déconseillée. Les auteurs qui souhaitent gouverner imbriquée de navigation contextes DOIVENT utiliser de l'enfant-src directive à la place." Regarde comme il est prévu pour être undeprecated dans CSP3 -- developer.mozilla.org/en-US/docs/Web/HTTP/Headers/... et w3.org/TR/CSP/#directive-child-src
    Oui, Firefox n'a pas de respect que, la dernière fois que j'ai vérifié était il y a quelques mois, mais maintenant il fonctionne comme prévu.

    OriginalL'auteur Anand Bhat

  2. 4

    Aucun de vos hypothèses sont universellement vrai.

    • Chrome ignore X-Frame-Options.
    • Safari 9 et ci-dessous ignorer CSP frame-ancestors.
    • Safari 10-12 respecter les CSP frame-ancestors directive, mais prioriser X-Frame-Options si les deux sont spécifiés.
    Cela est vrai pour Safari 11 et Safari 12 trop. En septembre 2018 X-Frame-Options est toujours la priorité sur les CSP.
    Oui, Exactement.. Safari12 hiérarchisation XFO plus de CSP. Maintenant, nous sommes face à problème puisque nous sommes à l'aide de l'OFS-sameorigin et CSP à la fois dans notre code comme "X-FRAME-OPTIONS"--> SAMEORIGIN "Contenu de la Politique de Sécurité", "cadre ancêtres "self"*.abcd.net". Comment peut-on spécifier l'URL avec SFO ?
    J'ai besoin d'une citation sur Chrome ignorant X-Frame-Options. Les données que je peux trouver suggère qu'il ignore PERMETTRE à des à PARTIR, mais bien pour d'autres valeurs.

    OriginalL'auteur NIRUPAM TEWARY

  3. 1

    La réponse a été trouvée par les tests dans la pratique.

    J'ai créé deux sites web et reproduit la situation décrite.

    Il semble que X-Frame-Options est primaire.

    Si l'objectif de serveur refuse de cadrage, client site web ne peut pas afficher cette page dans iframe selon les valeurs de Content-Security-Policy sont fixés.

    Cependant, je n'ai pas trouvé des confirmations dans la documentation.

    Testé sur Chrome 54 et IE 11.

    OriginalL'auteur Yeldar Kurmangaliyev