1
Ich habe ein Nginx CSP wie folgt konfiguriert:Nginx CSP Rahmen-src ignoriert
add_header Content-Security-Policy "default-src 'self';script-src 'self' 'unsafe-eval' https://www.google-analytics.com/analytics.js;img-src 'self' https://ssl.google-analytics.com data:;style-src 'self' 'unsafe-inline';font-src 'self' 'unsafe-inline';frame-src 'self' https:;object-src 'self';connect-src 'self' ws:;media-src 'self'
Wenn ich versuche, eine Seite in Chrome zu laden Ich sehe:
Refused to frame 'https://myexternalwebsite.com/a/b/index.html' because it violates the following Content Security Policy directive: "default-src 'self'". Note that 'frame-src' was not explicitly set, so 'default-src' is used as a fallback.
In meiner CSP Rahmen-src ist eindeutig eingestellt und hat die Werte "self" und https:
Was könnte ich falsch machen?
Was passiert, wenn Sie "https:" zur Standardrichtlinie hinzufügen? frame-src ist in CSP 2 veraltet, vielleicht ignoriert Chrome es? – seanwatson
Überprüfen Sie die Header, die der Browser empfangen hat –