加载在iframe物质的站点或只是我的网站的CSP标头？

Question

如果我在iframe中加载另一个站点，该网站的内容安全策略标题对该站点是否被阻止会影响吗？

例如，如果我打开 www.google.com 在iframe中还有Google.com上的那些？还是Google的CSP仅影响他们试图在iFrame中加载的内容。

当然，如果Google有自己的IFRAME，则需要CSP标头来允许任何第三方内容加载。但是，在Google.com开始加载后，我的CSP标头对Google有任何影响吗？如果Google尝试将YouTube.com加载到iframe中，而我没有将youtube.com在我的CSP白名单中包含在我的CSP白名单中吗？

抱歉，如果这是一个愚蠢的问题，我正在尝试将我的头缠绕在iframe上。我想知道的是，我是否需要担心第三方的CSP设置，尤其是如果我在嵌套iframe，或者我只需要担心我的CSP策略。

我认为我要说的是：一旦我说“允许这个第三方站点加载”，我的CSP标题可以根据 CSP标头加载任何东西？

谢谢！

Answer 1

假设您有一个网站

B。允许站点B被构架。如果未设置Frame-SRC，则将Child-SRC用作后备，如果未设置该src，则将默认为SRC用作后备。如果没有一个受到限制，则所有站点都可以构架。

网站B可以设置“框架 - 符合人A”，以允许A框架A。该指令没有后备。如果未设置它，任何站点都可以框架B。如果设置了网站，则只有被列为有效源列出的站点才能将其构架。

对于框架SRC（Child-SRC，默认为SRC）的框架和框架框架 - 框架，CSP对其他站点没有影响，他们每个人都会控制自己的来源。

Answer 2

CSP标头指令对应于IFRAMES，

• FRAFER-SRC
• 框架-AnceStors

可以说您的网站 xyz.com 和Google的网站“ Google.com”。
网站xyz.com有自己的CSP可以控制，

• 1. 谁可以加载xyz.com作为iframe，由 frame-ancestors决定指令
• 1. 谁可以在'xyz.com'中加载为iframe，由 frame-src 指令

相同的方案适用于Google.com（他们的CSP可以决定，他们可以在其应用程序中加载为iframe;可以将Google.com加载为iFrame）

每个HTML文档都有自己的CSP响应标头，不会干扰其主机应用程序（父帧）或其IFRAMES（子框架）。

xyz.com 的CSP仅决定谁应该加载它＆amp;除此之外

​站点是否应作为框架加载。

可详细参考：

• CSP- https://developer.mozilla.org/en-us/docs/web/http/headers/content-security-policy
• x-frame-options- https：// https：//deeverveperer.mozilla.org/en--en------------- us/doc/web/http/headers/x-frame-options