Comment utiliser frame-src et de l'enfant-src dans Firefox et les autres navigateurs?

La MDN page sur le Contenu Politique de Sécurité des directives membres du cadre src est obsolète et enfant-src devrait être utilisé. Cependant, Firefox 37 donne le message d'erreur suivant lorsque j'essaie d'utiliser de l'enfant-src

Content Security Policy: Couldn't process unknown directive 'child-src' <unknown>

Cet apparent manque de soutien n'est pas documenté (pour autant que je puisse dire) qui est frustrant. Il y a tout lieu de prise en charge du navigateur est documenté?

Actuellement, je suis en utilisant frame-src en outre à l'enfant-src, qui semble fonctionner. Cependant, je vais maintenant me demandais si il existe une possibilité de conflit entre les deux. Sans doute frame src sera ignoré par les navigateurs qui prennent en charge l'enfant src? C'est que la garantie?

InformationsquelleAutor ChrisD | 2015-05-04
  1. 42

    Mise À Jour: Jan 2017:

    Cesser d'utiliser child-src et commencer à utiliser frame-src de nouveau.

    Dans un effort pour créer encore plus de confusion, le CSP de Niveau 3 a undeprecated frame-src et fait à nouveau désigné comme le moyen privilégié pour y parvenir. Alors que child-src est toujours pris en charge frame-src est une fois de plus préféré.

    Vieux post

    frame-src est obsolète, mais c'est seulement récemment fait donc dans la CSP de Niveau 2 et de tous les navigateurs sont jusqu'à la dernière version de la spécification.

    La meilleure approche pour le moment pour un maximum de compatibilité du navigateur est à inclure à la fois child-src et frame-src avec des valeurs identiques. Les navigateurs qui ne supportent que l'original CSP spécification de l'utilisation frame-src alors que les plus récentes utilisera child-src.

    Que les développeurs de la console d'avertissement est sans conséquence et simplement informatives. Je vous conseille de l'ignorer pour l'instant, car un an à partir de maintenant, vous pouvez très bien voir un disant que frame-src est obsolète.

    En ce moment, je vous l'assure les deux sont utilisés lorsque cela est nécessaire et l'intention d'arrêter la fourniture de frame-src en janvier 2017.

    CSP support de Niveau 2:

    • Voir aussi: bugzilla.mozilla.org/show_bug.cgi?id=1288896 - dans la pratique, vous pouvez avoir besoin à la fois frame-src et child-src et le fait que Firefox émet un avertissement est juste un bug.
    • Trou de lapin alerte - j'ai commencé à avoir ces mises en garde dans mon application, cependant, les mises en garde de ne pas donner le contexte de ce qui les a engendrés. Par essai et erreur, dans mon application, il a été un 3e partie de script à partir de l'interphone.io.
    InformationsquelleAutor anthonyryan1