我试图添加一个 iframe 并在页面加载后连接到谷歌,如下所示
<iframe src="https://www.google.com"></iframe>
但是我从控制台收到了这条消息
Refused to frame 'https://www.google.com/' because it violates the following Content Security Policy directive: "frame-src 'self' blob: data:".
我尝试添加
<meta http-equiv="Content-Security-Policy" content="frame-src 'self' blob: data:">
听者应该授予控制台告诉我的内容,但它不起作用。
然后我看了一下页面响应的标题
Content-Security-Policy:
default-src 'self';
connect-src 'self';
font-src 'self' data:;
frame-src 'self' blob: data:;
img-src 'self' blob: data:;
media-src 'self';
object-src 'self' blob: data:;
script-src 'self' blob: data: 'unsafe-inline' 'unsafe-eval' https://accounts.google.com/;
style-src 'self' 'unsafe-inline';
frame-ancestors 'self' ;
但是我在4号线找到了政策
frame-src 'self' blob: data:我真的不明白为什么它仍然说同样的错误。有谁知道如何解决这个问题?谢谢。
Google 及其许多其他服务都有一项政策,不允许其网站被替换为 iframe,以保护用户免受 iframe 注入攻击。
https://www.how2lab.com/internet/security/iframe-hacking
您使用的任何方法在这种情况下都不起作用。如果您想在您的网站上与 google 交互,为什么不使用 Google API 呢?