Цель заключается в том, чтобы другие сайты не отображали содержимое нашего сайта в фрейме.
Я не могу использовать X-Frame-Options = SAMEORIGIN из-за URL-адреса сайта. Основное, как www.xyz.com, и саб, как sec.xyz.com.
Поэтому я прибегнул к Политике безопасности контента (... представляет другие домены и т. Д.)
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="default-src 'self' localhost ...; script-src 'unsafe-inline' 'unsafe-eval' *; style-src 'unsafe-inline' *; img-src * data; font-src * data:; frame-ancestors 'self' localhost ...;" />
</customHeaders>
</httpProtocol>
FF и Chrome не отображают сайт внутри тестовой страницы iframe.
Теперь IE 11 показывает сайт внутри iframe, так как frame-ancestors не поддерживается. https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors
Я попытался добавить заголовок X-Content-Security-Policy в глобальный файл, но IE 11 по-прежнему показывает сайт.
protected void Application_BeginRequest(object sender, EventArgs e)
{
HttpContext.Current.Response.AddHeader("X-Content-Security-Policy", "frame-ancestors 'self' localhost ...");
}
Как сделать так, чтобы IE 11 придерживался заголовка X-Content-Security-Policy?