在 WordPress 中构建网站时,Customizer 不会加载框架来显示页面。以下是 Chrome 中的错误。
拒绝显示'https://example.com/?customize_changeset_uuid=....' 因为祖先违反了以下内容安全策略指令:“frame-ancestorshttps://Example.com“。
请注意,URL 中的 HOST 为小写,而 URL 中的 HOST 为大小写混合。框架祖先指令。如果我改变WordPress 地址 (URL)在 WordPress 设置中将 HOST 改为小写,Chrome 就会加载页面。这意味着 Chrome 会区分大小写。Firefox 会在两种情况下加载框架。
从我简要阅读的内容安全策略级别 2 的 4.2 源列表语法部分4.2.2. 匹配源表达式,第 4.7 项规定 HOST 不区分大小写。
- 如果源表达式的主机部分的第一个字符不是 U+002A 星号字符 (*),并且 url-host 与源表达式的主机部分不区分大小写匹配,则返回不匹配。
这是 Chrome 的一个错误吗?我是否误解了 CSP2 区分主机大小写?
如果有人感到疑惑,以下是版本。
- Google Chrome 版本 68.0.3440.106(官方版本)(64 位)(在 openSUSE Leap 15.0 上)
- Firefox 61.0.2(64 位)(在 openSUSE Leap 15.0 上)
- nginx 1.15.2-111.1(在 openSUSE Leap 42.3 上)
- WordPress 4.9.8
答案1
没有回复通常意味着这是一个错误并且没有人提出建议。问题 882145已打开。