我正在使用 iframe 在我们的 Angular 应用程序中加载查看器仪表板,但出现以下错误。
拒绝框架“https://looker.lab.redseal.net:9999/”,因为它违反了以下内容安全策略指令:“default-src 'self'”。请注意,'frame-src' 没有明确设置,所以 'default-src' 用作后备。
问问题
61 次
1 回答
0
您的应用程序发布带有规则的默认内容安全策略default-src 'self'(仅允许来自站点自己的域的资源)。因此https://looker.lab.redseal.net:9999/是不允许的。
我猜这是Helmet 中间件的把戏,v4 切换默认 CSP On,而 v3 - 没有。
您可以修改 CSPdefault-src 'self'; frame-src https://looker.lab.redseal.net:9999;以允许此 iframe。有关详细信息,请参阅helmet.contentSecurityPolicy(options)。
或者您可以完全禁用 CSP(这会降低安全性)。
于 2021-02-23T15:41:42.763 回答