拒絕顯示在框架中

我正在使用iframe在其上顯示日曆。但我一直得到以下;拒絕顯示在框架中

拒絕，因爲祖先違反了以下內容安全策略指令框顯示 'https://cal.mixmax.com/user1'：「框架祖先 '自我' https://mail.google.com https://inbox.google.com https：//開頭.force.com的https：// .mixmax.com「。

我試圖讓內容安全策略的元作爲以下但沒有運氣。

<meta http-equiv="Content-Security-Policy" 
     content="frame-ancestors 'self' 
     https://mail.google.com 
     https://inbox.google.com 
     https://*.force.com 
     https://*.mixmax.com">

任何想法如何克服它？

來源

2017-09-06 shamaleyte

問題不在於您的配置有誤，它在Mixmax端的CSP指令上。他們有自己的頁面上的以下指令：

content-security-policy: frame-ancestors 'self' https://mail.google.com https://inbox.google.com https://*.force.com https://*.mixmax.com;; frame-src https://*.stripe.com https://*.facebook.com https://*.mixmax.com

所以你不能鏡框，除非你是從列出的任何域。

解決該問題的一種方法是在您的站點上創建代理，代表客戶端訪問MixMax，並將數據發送到您的框架，因爲CSP僅由客戶端強制實施。

來源

2017-09-06 20:41:28 ThoriumBR

拒絕顯示在框架中

回答

相關問題