內容安全策略框架祖先。在iOS10 IFRAME不會加載內容

Question

我們科爾多瓦的應用程序將無法在iOS 10.

加載iframe中的內容，我們有一些I幀顯示特定信息的從應用程序內我們的網頁，所以我們不必重複它們。

在以下任何iOS版本中都可以正常工作。但自從我們的設備上進行更新後，該應用拒絕加載資源。

Refused to load http://.../.../X.html because it does not appear in the frame-ancestors directive of the Content Security Policy 

我試圖編輯我的元內容安全策略標記以允許從這個資源，但沒有奏效。我想這個問題是關於網絡服務器告訴我的應用程序/瀏覽器不允許這個來源，但我很遺憾沒有那麼深的話題。我所知道的是，網絡服務器將X-Frame-Options設置爲SAMEORIGIN，但是應該禁用其他iOS版本。

那麼在這種情況下如何繞過安全配置就像在早期版本的iOS中一樣工作？

請告訴我，如果您需要更多的信息，我不知道我是否錯過了一些東西。

Answer 1

我所知道的是，Web服務器將X-Frame-Options設置爲SAMEORIGIN，但是也應該禁用其他iOS版本。

除了現有的頭：

X-Frame-Options: SAMEORIGIN 

添加其內容安全策略相當於：

Content-Security-Policy: frame-ancestors 'self' 

，請注意以下注意事項記住：

字約支持。在所有瀏覽器中都不支持Chrome 40+和FF 35+支持，但如果存在，也會默認使用X-Frame-Options。 Spec說，CSP應該優先。當CSP處於<meta>標記中時，這不起作用，並且在使用Content-Security-Policy-Report-Only時不起作用。

參考

• Content Security Policy Cheat Sheet - OWASP