问题描述
我有一个内部网络应用程序。这是一个 webforms .net 4.x 应用程序。它使用 ajax 控制工具包和更新面板。具体来说,它大量使用 tabcontainer/tabpanels。在我打开 csp 之前,我在让 tabcontainer/tabpanels 工作时遇到了问题。我这样做了几年。我在 web.config 文件中设置了内容安全策略:
<add name="Content-Security-Policy" value="style-src 'self' 'unsafe-inline' 'unsafe-eval'; script-src 'self' 'unsafe-inline' 'unsafe-eval'" />
这个 csp 允许一切正常工作。现在,我有两个问题:
- 安全人员已将当前的 csp 列为低风险安全问题,并希望我对其进行更改。这是低风险,但如果可能的话,我想为此提供某种类型的解决方案。我已经阅读了几篇关于让 ACT 与 CSP 一起工作是多么困难的文章,所以这可能是不可能的。我曾尝试创建一个 ACT 包并将其发送下来,但我在 Chrome 检查器中收到一条错误消息,指出这是 404 iirc。一切正常,但我不喜欢 404 错误。在脚本管理器中删除包似乎有效,并且不会产生任何其他错误。有没有其他人注意到 google chrome 检查中的 404 错误和脚本管理器中的 ACT 包?
- 我最近不得不再添加两个标签。这两个选项卡有一个 iframe,用于显示来自另一个内部网站的内容。要使其在选项卡下工作,我必须实际删除 csp。我不认为他们会喜欢被删除的 csp。
我尝试使用 csp 从谷歌加载一些测试内容。不幸的是,以下 csp 不起作用。我认为它会从当前的本地服务器和谷歌站点加载。不幸的是,来自 google.com 的内容无法加载。 Chrome 给我一张不高兴的脸试图加载。关于如何仅从本地服务器和单个远程服务器加载内容的建议表示赞赏。
<add name="Content-Security-Policy" value="frame-src 'self' *.google.com; style-src 'self' 'unsafe-inline' 'unsafe-eval' *.google.com; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.google.com" />
那么,问题(感谢 pkalkins),我如何添加包含来自另一个内部站点的内容的 iframe 的功能,以便 iframe 正确显示该 iframe 中的内容?我仅将 google.com 站点用作示例,并在此处在我的远程系统上进行测试。
预先感谢您的任何想法或建议。 :-)
沃利
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)