Contenu de la Politique de Sécurité (CSP) solution de contournement pour internet explorer
Nous construisons un ASP.NET
site web et que vous souhaitez autoriser uniquement certains domaines qui peut iFrame
notre site web. Le CSP n'est pas pris en charge dans internet explorer. Je suis en train de quelque chose comme
Response.AddHeader("Content-Security-Policy", "frame-ancestors mydomain1.com mydomain2.com")
.
Comment tout le monde est de la manipulation pour internet explorer. J'ai lu IE prend en charge X-Content-Security-Policy
mais il n'a pas a frame-ancestors
.
Aussi je suis de retirer la valeur par défaut X-Frame-Options d'en-tête ajouté par IIS en faisant
Response.Headers.Remove("X-Frame-Options")
OriginalL'auteur sri | 2015-11-18
Vous devez vous connecter pour publier un commentaire.
La solution recommandée par Microsoft est la suivante:
Vous pouvez aussi consulter l'en-tête Referer si elle est présente.
Ce que si je copie iframe et une adresse de paramètre dans un autre site?
OriginalL'auteur Julien
X-Frame-Options est en passe d'être supplanté par le Contenu de la Politique de Sécurité, mais comme vous le dites, pas tous les navigateurs entièrement en charge le Contenu-de la Politique de Sécurité encore.
Vous dites que vous êtes retirer intentionnellement X-Frame-Options, mais vous ne devriez pas. Prise en charge par Internet Explorer, donc si vous l'utilisez en complément le Contenu de la Politique de Sécurité, vous obtiendrez le même effet dans un large éventail de navigateurs.
Voir X-Frame-Options de la documentation ici, ce qui inclut une mention d'IE de soutien:
https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
OriginalL'auteur Chris Denning
Internet Explorer 8 à 11 prend uniquement en charge les X-Frame-Options, et vous pouvez utiliser le PERMETTENT-DE valeur. Spécifiez l'Url de votre iframe.
Veuillez garder à l'esprit la dernière version d'Internet Explorer navigateurs prennent en charge les X-Content-Security-policy.
OriginalL'auteur user5707883
X-Content-Security-policy works pour IE, tester les navigateurs pour les csp en charge l'utilisation de https://content-security-policy.com/browser-test/
Extrait dans l'express:
vous pouvez utiliser les deux ensemble et cela fonctionne, mais il y a un avertissement à ce sujet à ce l'article.
OriginalL'auteur Abhijeet
Suivantes de configuration d'apache fonctionne pour moi dans tous les principaux navigateurs (avril 2018):
OriginalL'auteur theBell