我们的apache前端总是添加一个带有frame-ancestor的CSP头,基本上只列出我们的域名。然而,我有一个页面,我希望任何网站都能放到iframe中。我不想让所有想要它的人都被列入白名单。有什么方法可以设置csp头来允许这样做吗?
是的,对于一个特定的页面,你可以在页面级别设置CSP头安全,但你必须使用 meta tags in the HTML. 只要在页面层面使用HTML元标签提供具体的指令即可。下面是一个例子,设置的策略和上面一样。
//modify source as needed
<meta http-equiv="Content-Security-Policy" content="default-src 'self'">