Политика безопасности контента и доменные символы - PullRequest
0 голосов
/ 31 октября 2019

Я хочу разрешить внешним сайтам вставлять фреймы со своего сайта. Я настроил Политику безопасности контента с использованием фреймов-предков (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors).

Сайты, которые необходимо разрешить, имеют формат:

  • example.com
  • subdomain1. example.com
  • subdomain2.example.com

Достаточно ли установить предков iframe, используя подстановочный знак:

frame-ancestors *.example.com

Или нужно явно указать списокна example.com тоже:

frame-ancestors *.example.com example.com

Спецификация говорит: http://*.example.com: Matches all attempts to load from any subdomain of example.com using the http: URL scheme. Я не уверен, что example.com тоже рассматривается в качестве такого субдомена в этом контексте.

...