Если я правильно понимаю, взаимодействие между iframes и CSP выглядит следующим образом:
- Если iframe имеет атрибут
src, то любой CSP, предоставленный самим источником, будет соблюдаться (или нет политик, если у источника нет заголовка CSP). - Если iframe имеет атрибут
srcdoc, то CSP страницы, на которой он размещен, будет соблюдаться.
Если я понимаюправильно, src означает, что браузер получит контент с URL, а srcdoc означает, что код iframe будет встроен в значение атрибута srcdoc.
В моей компаниивеб-сайт, у нас есть реклама от Google, и они вставляют iframe следующим образом:
Я вижу, что элемент iframe имеет атрибут srcdoc, который появляетсякак будто это не имело значения.Атрибут src отсутствует.
Вопрос 1. Является ли просто странной особенностью браузера, что значение srcdoc является пустой строкой?(но iframe действительно не пустой).
Вопрос 2. Если содержимое этого источника взято из srcdoc, это означает, что у меня будет CSP, совместимыйс этими объявлениями.Это правильно?Есть ли лучший способ?