如何“避免”内容安全策略？

我在一家公司担任外部研究员。他们给了我一个 vpn、rsa 令牌和凭据来访问他们的在线门户网站，其中包含他们项目的网页。我正在构建一个 Flask 应用程序，我想将他们的页面嵌入到框架中，但 CSP 拒绝此操作。目前这个工具在本地运行，我永远不会把它放在他们的生产或测试服务器上。在框架中，会出现一条消息而不是页面内容，内容是：

被内容安全策略阻止：此页面有一个内容安全策略阻止它以这种方式加载。Firefox 阻止了该页面以这种方式加载，因为该页面的内容安全策略不允许这样做。

而控制台消息说：

Content Security Policy: Ignoring 'x-frame-options' because of 'frame-ancestors' directive

我对 CSP 没有信心，我只是阅读了有关该主题的几页。由于我可以通过浏览器访问他们的页面（就像该工具的所有未来用户一样），是否有任何解决方案可以将这些页面嵌入框架中？

30秒到达战场

浏览 140回答 2

2回答

一只甜甜圈

您需要让他们使用允许您的项目 URL/IP frame-src，例如：<meta http-equiv="Content-Security-Policy" content="frame-src 'self' *.YourProjectURL.com;">

萧十郎

CSP 由您自己的浏览器强制执行。有些浏览器插件会为您的浏览器禁用 CSP。例如：https://chrome.google.com/webstore/detail/disable-content-security/ieelmcmcagommplceebfedjlakkhpden...尽管在您的情况下，即使您关闭 CSP，您也可能会与x-frame-options标题发生冲突

随时随地看视频慕课网APP