在 Apache 2.2 上,我即将设置 Content-Security-Policy,以允许来自某个特定域的浏览器将数据加载到来自某个虚拟主机的 iframe 中。
$ httpd -S
VirtualHost configuration:
Syntax OK
$ httpd -S -v
Server version: Apache/2.2.15 (Unix)
我相信这个指令应该可以解决问题:
Header set Content-Security-Policy "default-src 'self'; frame-ancestors *.requestorsdomain.no"
问题:我应该将它插入到 httpd.conf 中的什么位置?我将其放在 httpd.conf 中,重启后它似乎在语法上被接受了。
httpd.conf:
<Directory "/app/httpd/html">
Header set Content-Security-Policy "default-src 'self'; frame-ancestors *.requestorsdomain.no"
</Directory>
允许 iframe 的特定虚拟服务器包含在 httpd.conf 的末尾,并传递到同一服务器上的 Jboss。
Include virtual.d/*.conf
../virtual.d/rolf.conf:
ProxyPass /rolf/ http://rolfhost:8080/rolf/
ProxyPassReverse /rolf/ http://rolfhost:8080/rolf/
此外,所有内容都位于 BlueCoat 反向代理之后,允许互联网传入。
因此,总结一下:它不起作用。客户端仍然无法加载到 iframe 中。可能是标头卡住了或未正确提供。如何正确执行?我是否也需要在 Blue Coat 中应用 CSP 传递?
谢谢您,非常感谢您的帮助。