nginx 的安全策略问题

Posted on by hackdl

1:前端嵌入iframe 时,有时汇报安全策略如下:

in a frame because an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘self’。

这里主要是 frame-ancestors的参数需要调整。

# 不允许被嵌入,包括, , , 和
Content-Security-Policy: frame-ancestors ‘none’
# 只允许被同源的页面嵌入
Content-Security-Policy: frame-ancestors ‘self’
# 只允许被白名单内的页面嵌入
Content-Security-Policy: frame-ancestors www.example.com

2:解决

在nginx的 nginx.conf 的http 下面 加入安安全策略

add_header Content-Security-Policy “default-src * data: ‘unsafe-inline’  blob: ‘unsafe-eval’;frame-src ‘self’; frame-ancestors ‘self’  http://*”;

 3:重启nginx

服务器托管,北京服务器托管,服务器租用,机房机柜带宽租用

服务器托管

咨询:董先生

电话13051898268 QQ/微信93663045!

上一篇:
下一篇: