Политика безопасности контента для фрейма. frame-src vs frame-предки
Я бы подумал, что если авторы библиотеки не сделали отдельную часть публичного API, это потому, что они не хотят, чтобы другие люди использовали ее. Вы должны уважать решение, даже если вы можете сломать его, используя отражение. Использование частного API - просто плохое программирование.
1 ответ
default-src, frame-ancestors и frame-src являются частью заголовка ответа Content-Security-Policy .
frame-src
Ограничивает, какие домены страница может загружать в iframe.
Директива frame-src HTTP Content-Security-Policy (CSP) задает допустимые источники для загрузки вложенных контекстов просмотра с использованием таких элементов, как
<frame>и<iframe>.Например: Если веб-сайт в
https://example.comимеет заголовок ответаContent-Security-Policy: frame-src 'self', он может загружатьhttps://example.comтолько внутри фреймов.frame-ancestors
Ограничивает, в какие домены страница может быть загружена из iframe (аналогично заголовку
X-Frame-Options, , но имеет приоритет над ним ).Директива frame-ancestors HTTP Content-Security-Policy (CSP) указывает допустимых родителей, которые могут встраивать страницу, используя
<frame>,<iframe>,<object>,<embed>или<applet>.Например: Если веб-сайт в
https://example.comимеет заголовок ответаContent-Security-Policy: frame-ancestors 'self', он может только быть загружен внутри фреймов изhttps://example.com. [тысяча сто тридцать одна]default-src
Действует в качестве значения по умолчанию для любой директивы, которая не установлена явно
Директива default-src HTTP Content-Security-Policy (CSP) служит как запасной вариант для других директив выборки CSP. Для каждой из следующих директив, которые отсутствуют, пользовательский агент будет искать директиву default-src и будет использовать это значение для нее.
Например:
Content-Security-Policy: default-src 'self'по умолчанию установит значение'self'для всех директив.