Comment fonctionne le Contenu de la Politique de Sécurité de travail avec X-Frame-Options?
Ne Content-Security-Policy
ignorer X-Frame-Options
, renvoyé par un serveur, ou est X-Frame-Options
encore en primaire?
En supposant que j'ai:
- un site web http://a.com avec
X-Frame-Options: DENY
- et un site internet http://b.com avec
Content-Security-Policy: frame-src a.com
de navigateur de charger cette image?
Il n'est pas clair.
D'une part, http://a.com refuse explicitement l'encadrement.
D'autre part, http://b.com permet explicitement de l'encadrement pour http://a.com.
OriginalL'auteur Yeldar Kurmangaliyev | 2016-11-02
Vous devez vous connecter pour publier un commentaire.
La
cadre-src
CSP directive (qui est obsolète et remplacé parchild-src
) détermine quelles sont les sources peuvent être utilisées dans un cadre sur une page.La
X-Frame-Options
en-tête de réponse, d'autre part, détermine les autres pages peuvent utiliser cette page dans un iframe.Dans votre cas,
http://a.com
avecX-Frame-Options: DENY
indique qu'aucune autre page de l'utiliser dans un cadre. Il n'a pas d'importance ce quehttp://b.com
a dans son DSP-pas de page pouvez utiliserhttp://a.com
dans un cadre.L'endroit où
X-Frame-Options
intersection avec le CSP est par l'intermédiaire de lachâssis ancêtres
de la directive. À partir de la CSP specificiation (l'emphase est mienne):Un âgées question indiqué, cela ne fonctionne pas dans Firefox, à ce moment, mais j'espère que les choses ont changé maintenant.
Mise à JOUR avril 2018:
Ressemble
child-src
est maintenant obsolète et unframe-src
est de retour.w3.org/TR/CSP2/#directive-frame-src -- "L'image src directive est déconseillée. Les auteurs qui souhaitent gouverner imbriquée de navigation contextes DOIVENT utiliser de l'enfant-src directive à la place." Regarde comme il est prévu pour être undeprecated dans CSP3 -- developer.mozilla.org/en-US/docs/Web/HTTP/Headers/... et w3.org/TR/CSP/#directive-child-src
Oui, Firefox n'a pas de respect que, la dernière fois que j'ai vérifié était il y a quelques mois, mais maintenant il fonctionne comme prévu.
OriginalL'auteur Anand Bhat
Aucun de vos hypothèses sont universellement vrai.
X-Frame-Options
.frame-ancestors
.frame-ancestors
directive, mais prioriserX-Frame-Options
si les deux sont spécifiés.Oui, Exactement.. Safari12 hiérarchisation XFO plus de CSP. Maintenant, nous sommes face à problème puisque nous sommes à l'aide de l'OFS-sameorigin et CSP à la fois dans notre code comme "X-FRAME-OPTIONS"--> SAMEORIGIN "Contenu de la Politique de Sécurité", "cadre ancêtres "self"*.abcd.net". Comment peut-on spécifier l'URL avec SFO ?
J'ai besoin d'une citation sur Chrome ignorant X-Frame-Options. Les données que je peux trouver suggère qu'il ignore PERMETTRE à des à PARTIR, mais bien pour d'autres valeurs.
OriginalL'auteur NIRUPAM TEWARY
La réponse a été trouvée par les tests dans la pratique.
J'ai créé deux sites web et reproduit la situation décrite.
Il semble que X-Frame-Options est primaire.
Si l'objectif de serveur refuse de cadrage, client site web ne peut pas afficher cette page dans
iframe
selon les valeurs deContent-Security-Policy
sont fixés.Cependant, je n'ai pas trouvé des confirmations dans la documentation.
Testé sur Chrome 54 et IE 11.
OriginalL'auteur Yeldar Kurmangaliyev