Contenu de la Politique de Sécurité (CSP) solution de contournement pour internet explorer

Nous construisons un ASP.NET site web et que vous souhaitez autoriser uniquement certains domaines qui peut iFrame notre site web. Le CSP n'est pas pris en charge dans internet explorer. Je suis en train de quelque chose comme
Response.AddHeader("Content-Security-Policy", "frame-ancestors mydomain1.com mydomain2.com").

Comment tout le monde est de la manipulation pour internet explorer. J'ai lu IE prend en charge X-Content-Security-Policy mais il n'a pas a frame-ancestors.

Aussi je suis de retirer la valeur par défaut X-Frame-Options d'en-tête ajouté par IIS en faisant

Response.Headers.Remove("X-Frame-Options")

OriginalL'auteur sri | 2015-11-18

  1. 8

    La solution recommandée par Microsoft est la suivante:

    1. en interne, liste blanche domain1.com et domain2.com
    2. lors de l'incorporation de votre iframe URL, ajouter un paramètre dans l'URL qui précisent l'origine: iframe src="http://example.org/frame.html?origin=http://domain1.com"
    3. sur votre serveur, vérifier si l'origine de la valeur est dans la liste blanche. L'utiliser pour définir des X-Frame-Options: AUTORISER-à PARTIR de http://domain1.com

    Vous pouvez aussi consulter l'en-tête Referer si elle est présente.

    Julien: Merci, j'ai fait la même chose.
    Ce que si je copie iframe et une adresse de paramètre dans un autre site?

    OriginalL'auteur Julien

  2. 4

    X-Frame-Options est en passe d'être supplanté par le Contenu de la Politique de Sécurité, mais comme vous le dites, pas tous les navigateurs entièrement en charge le Contenu-de la Politique de Sécurité encore.

    Vous dites que vous êtes retirer intentionnellement X-Frame-Options, mais vous ne devriez pas. Prise en charge par Internet Explorer, donc si vous l'utilisez en complément le Contenu de la Politique de Sécurité, vous obtiendrez le même effet dans un large éventail de navigateurs.

    Voir X-Frame-Options de la documentation ici, ce qui inclut une mention d'IE de soutien:
    https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options

    OriginalL'auteur Chris Denning

  3. 1

    Internet Explorer 8 à 11 prend uniquement en charge les X-Frame-Options, et vous pouvez utiliser le PERMETTENT-DE valeur. Spécifiez l'Url de votre iframe.

    Veuillez garder à l'esprit la dernière version d'Internet Explorer navigateurs prennent en charge les X-Content-Security-policy.

    Selon la RFC, seulement 1 URL est autorisé avec X-Frame-Options: AUTORISER-à PARTIR de: "les caractères génériques ou des listes de déclarer plusieurs domaines en un seul PERMETTRE DE déclaration ne sont pas autorisés".

    OriginalL'auteur user5707883

  4. 1

    X-Content-Security-policy works pour IE, tester les navigateurs pour les csp en charge l'utilisation de https://content-security-policy.com/browser-test/

    Extrait dans l'express: 

    function applyCSPforIE(req, res, next) {
    res.setHeader('X-Content-Security-Policy', 'frame-ancestors \'self\' http://whatever.com/');
    next();
}

    vous pouvez utiliser les deux ensemble et cela fonctionne, mais il y a un avertissement à ce sujet à ce l'article.

    OriginalL'auteur Abhijeet

  5. 1

    Suivantes de configuration d'apache fonctionne pour moi dans tous les principaux navigateurs (avril 2018):

    <IfModule mod_headers.c>

    Header set Content-Security-Policy "frame-ancestors http://*.example.com/'self';"

    # For IE 11 and below
    Header set X-Frame-Options SAMEORIGIN
    Header append X-Frame-Options "ALLOW-FROM http://example.com/" </IfModule>

    OriginalL'auteur theBell