个人中心
文章发布
退出
作者热门文章
- mongodb - 在 MongoDB mapreduce 中,如何展平值对象?
- javascript - 对象传播与 Object.assign
- html - 输入类型 ="submit"Vs 按钮标签它们可以互换吗?
- sql - 使用 MongoDB 而不是 MS SQL Server 的优缺点
24
4
我想渲染一个源代码为 Github 的 iframe,如下所示:
<iframe src="https://gist.github.com/user45445/9bf8d568e3350146ba302d7d67ad576f"> </iframe>
这是我在控制台中遇到的错误: Refused to display 'https://gist.github.com/fresh5447/9bf8d568e3350146ba302d7d67ad576f' in a frame because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'none'".
我正在研究如何指定我的 Content Security Policy在我的Node服务器,指定它应该接受来自 github 的任何 iframe
所以我安装了csp-helmet并将其添加到我的服务器代码中:
var csp = require('helmet-csp')
app.use(csp({
// Specify directives as normal.
directives: {
frameAncestors: ['*.github.com'], //I thought these two did the same, so I tried them both.
childSrc: ['*.github.com']
},
// Set to true if you only want browsers to report errors, not block them.
// You may also set this to a function(req, res) in order to decide dynamically
// whether to use reportOnly mode, e.g., to allow for a dynamic kill switch.
reportOnly: false,
// Set to true if you want to blindly set all headers: Content-Security-Policy,
// X-WebKit-CSP, and X-Content-Security-Policy.
setAllHeaders: false,
// Set to true if you want to disable CSP on Android where it can be buggy.
disableAndroid: false,
// Set to false if you want to completely disable any user-agent sniffing.
// This may make the headers less compatible but it will be much faster.
// This defaults to `true`.
browserSniff: true
}))
但还是同样的错误..
我一直在尝试查看 official docs和 HTML5 rocks guide
不确定我是 super 接近还是采取了完全错误的方法。
我也尝试通过 meta 设置 CSP标记。
<meta http-equiv="Content-Security-Policy" content="child-src https://gist.github.com; frame-ancestors https://gist.github.com;">
Content Security Policies delivered via a <meta> element may not contain the frame-ancestors directive.
最佳答案
frame-ancestors 值作用于 iframe 的 source 而不是构成它的文档。在您的页面上设置 CSP 不会影响框架。将 frame-ancestors 想象成类固醇上的 X-Frame-Options:它限制了允许对内容进行框架化的内容。 Gist 故意不允许直接构建 Gist,而是提供了一种嵌入 Gist 的方法。
frame-ancestors 'none' == X-Frame-Options: DENY
关于node.js - 尝试渲染 iframe : ancestor violates the following Content Security Policy directive: "frame-ancestors ' none'",我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38535491/
24
4
0
我正在尝试为先决条件单元创建一个祖先表。我不确定如何使用 SQL 脚本为 2 级、3 级等插入数据... 我有三个表: Unit_Of_Competency(Unit_Of_Competency_ID
我想渲染一个源代码为 Github 的 iframe,如下所示: 这是我在控制台中遇到的错误: Refused to display 'https://gist.github.com/fresh5
我试图在我制作的两个组件之间共享状态。根据我的研究,我相信我需要将状态提升到祖先组件,然后将该状态向下传递到其他组件。作为引用,我添加了一个文件上传器,它将接收一个 json 文件,然后我将通过 js
我正在尝试找到一种方法来将这种转换重新处理到不必在Xpath中使用ancestor::轴的位置: 来源示例:
关闭。这个问题需要更多focused .它目前不接受答案。 想改进这个问题吗? 更新问题,使其只关注一个问题 editing this post . 关闭 7 年前。 Improve this qu
我有一个应用程序 siteA.com,它加载到 siteB.com 内的 iframe 中。直接加载 siteA.com 时没有警告,但在 siteB.com 的 iframe 内时得到 Unreco
什么定义了祖先?更具体地说,E 会是 H 的祖先吗?或者更简单地说,F、C、A 是 H 的祖先?甚至G?我只想澄清这个简单的概念。 最佳答案 E 不是 H 的祖先。它是 叔叔因为它是 兄弟 F,即 家
查找类为“bar”的div,其祖先在顶级“foo”的范围内不具有类“foo”。例如, 查找不在嵌套“f
我在切换汉堡包下拉菜单时遇到问题。基本上我在容器中有汉堡包图标,但导航列表在曾祖父 div 中,我不知道如何使用 JQuery 从较低的祖先 div 中切换导航列表的显示。 编辑: 忘记指定我想在可能
我最近接受了一次电话采访。它涉及将问题编码作为过程的一部分。 问题是 Find the most closest common ancestor of a tree 的变体,但有一个扭曲。这棵树很像图
我们要遍历节点的祖先,直到找到具有特定类的父节点。 SpriteKit 允许您使用 children 属性遍历子级,但 parent 属性只包含直接父级——而不是父级数组。我们如何遍历一个节点的所有祖
我希望使用 git-rev-parse 的指定修订部分中显示的 parent^ 和 ancestor generation~ 格式来描述相对于更新标记的特定提交。 是否有获取此格式的简单命令? 最佳答
XPath 2.0 中的 preceding:: 和 ancestor:: 有什么区别? 最佳答案 preceding:: 轴包含文档中之前该节点的所有节点,不包括该节点的祖先,它们位于 ancest
我想知道在 git merge 冲突解决期间“共同祖先”提交的身份。 换种说法:我想知道 修订版的哈希值,当我在 git merge 期间解决冲突时,BASE 版本是从 中提取的。 希望有一个命令可以
我正在寻找用来描述继承祖先的 child 的最佳术语。 例如,“汽车”对象可能源自其祖先“车辆”。但是,有没有比导数更好/更合适的词来用于逆的导数? 最佳答案 当所讨论的项目之间可能存在中间层时,祖先
我正在使用graft命令将4个变更集从BranchA拉入BranchB。当我这样做时,有些被嫁接了,而有些则没有: PS D:\Dev\ProjectAlpha> hg graft 5f403abb2
我正在学习 Google Cloud Datastore GQL grammar - 特别是 HAS ANCESTOR和 HAS DESCENDANT比较运算符。 提供以下 Person 实体: 艾米
我将iFrame嵌入网页中,如下所示: var iframeProps = { 'data-type': self.props.type, allowTranspare
我有一些从 TMyForm 继承的表单(TMyForm 是具有源代码表单的第 3 方组件)。 当我在 IDE 中打开从 TMyForm 继承的表单时,我有: Error creating form:
我有一个部署脚本,该脚本将生成新镜像,停止具有相同镜像名称的现有容器,然后从这些镜像启动新容器。 我在这里使用答案按图像名称停止容器:Stopping docker containers by ima
我是一名优秀的程序员,十分优秀!