常德网站建设,企业网站建设一般要素,wordpress做查询系统,服装设计找图网站偶然碰到iframe跨域加载被拒绝的问题#xff0c;原因是父页面默认不允许加载跨域的子页面#xff0c;也就是的content-security-policy中没有设置允许跨域加载。
简单地说#xff0c;content-security-policy能限制页面允许和不允许加载的所有资源#xff0c;常见的包括原因是父页面默认不允许加载跨域的子页面也就是的content-security-policy中没有设置允许跨域加载。
简单地说content-security-policy能限制页面允许和不允许加载的所有资源常见的包括
iframe加载的子页面urljs文件图片、视频、音频、字体等资源
设置content-security-policy有两个途径
通过请求头设置(http header)在html中head meta设置
使用中注意
1比2的优先级高也就是浏览器优先使用请求头的配置content-security-policy各配置项默认使用default-src指令的值该指令默认是不限制的 csp配置可以有效阻止跨站脚本攻击xss而且用起来也不麻烦可以作为一个开发中的日常习惯。
具体使用方式就不赘述了感兴趣的可以看下面的参考页面。
参考
Content Security Policy 入门教程 —— 阮一峰内容安全策略CSP—— MDNCSP常用配置项指令
