问题遇到的现象和发生背景
最近在做漏洞处理,原先使用的是
res.addHeader("X-Frame-Options", "ALLOW-FROM");
但是由于ALLOW-FROM不支持部分的浏览器,且并没有生效。所以想要增加其他报文头来代替。
于是我查了下官方文档,看到了如下的描述。
问题相关代码,请勿粘贴截图
所以我就改写成了下面这个样子:
res.addHeader("Content-Security-Policy", "frame-ancestors 'self' http:// *: */test_report/test/");
运行结果及报错内容
结果就是在火狐浏览器中可以正常的显示,但是在谷歌浏览器中会被拦截,报以下错误:
我的解答思路和尝试过的方法
我也尝试过如下写法,但是谷歌和火狐都没法显示。
写成如下这种是两个浏览器都可以显示的,所以感觉我的浏览器应该没问题?
res.addHeader("Content-Security-Policy", "frame-ancestors 'self' http:");
我想要达到的结果
因为环境比较多,所以主机名是不固定的,后面的路径是固定那一串的,比较想实现可以适配路径实现跨域的嵌入。或者有啥别的办法也可以呀~