如何“避免”内容安全策略?

我在一家公司担任外部研究员。他们给了我一个 vpn、rsa 令牌和凭据来访问他们的在线门户网站,其中包含他们项目的网页。我正在构建一个 Flask 应用程序,我想将他们的页面嵌入到框架中,但 CSP 拒绝此操作。目前这个工具在本地运行,我永远不会把它放在他们的生产或测试服务器上。在框架中,会出现一条消息而不是页面内容,内容是:

被内容安全策略阻止:此页面有一个内容安全策略阻止它以这种方式加载。Firefox 阻止了该页面以这种方式加载,因为该页面的内容安全策略不允许这样做。

而控制台消息说:

Content Security Policy: Ignoring 'x-frame-options' because of 'frame-ancestors' directive

我对 CSP 没有信心,我只是阅读了有关该主题的几页。由于我可以通过浏览器访问他们的页面(就像该工具的所有未来用户一样),是否有任何解决方案可以将这些页面嵌入框架中?


30秒到达战场
浏览 140回答 2
2回答

一只甜甜圈

您需要让他们使用 允许您的项目 URL/IP&nbsp;frame-src,例如:<meta&nbsp;http-equiv="Content-Security-Policy"&nbsp;content="frame-src&nbsp;'self'&nbsp;*.YourProjectURL.com;">

萧十郎

CSP 由您自己的浏览器强制执行。有些浏览器插件会为您的浏览器禁用 CSP。例如:https://chrome.google.com/webstore/detail/disable-content-security/ieelmcmcagommplceebfedjlakkhpden...尽管在您的情况下,即使您关闭 CSP,您也可能会与x-frame-options标题发生冲突
打开App,查看更多内容
随时随地看视频慕课网APP

相关分类

Python