Я пытаюсь загрузить внешний сайт в iframe для моих посетителей Firefox. Внешняя страница загружена с помощью JavaScript, и я бы хотел, чтобы это было удалено. Для Chrome отлично работает HTML5 sandbox = "", а с IE security = "limited" отлично справляется со своей задачей. С Firefox я борюсь.
Я использовал директиву политики CSP, как описано здесь , но, похоже, не могу получить правильную конфигурацию. Следующая строка загрузит страницу, но javascript на внешнем сайте все еще загружается.
header("X-Content-Security-Policy: allow 'self'; object-src 'self'; script-src 'self'; frame-src *.externalsite.com; img-src 'self'");
Я перепробовал десятки других конфигураций и, похоже, попал в кирпичную стену. Будет ли это работать с директивой CSP? Стоит ли искать где-то еще, чтобы разрешить загрузку внешнего сайта в javascript iframe без Firefox? Возможно ли это даже в Firefox?