Q

混合内容，内容安全策略和散列源

2017-05-31 67 views 0 likes

0

我想在HTTPS页面内打开HTTP Iframe。当然，这通常不可能，因为它会触发“混合内容”违规行为。混合内容，内容安全策略和散列源

有什么方法可以绕过使用“内容安全策略”和散列源的混合内容块吗？

实施例：

http://mysite/my-frame.html具有sha256-xxxyyy....zzz
https://mysite/index.html将与Content-Security-Policy头如下送达的SHA-256哈希（或内联一个equivalente <meta>标签），只要CORS标头：
- Content-Security-Policy: frame-src sha256-xxxxyyyy....zzz
https://mysite/index.html包括<iframe src='http://mysite/my-frame.html'>

将这项工作？有没有其他的方法可以做到这一点。

note：没有upgrade-insecure-requests将不起作用，因为该页面是一个导航请求，并且该框架必须由HTTP提供服务。

2017-05-31 Vittorio Ballestra

A

回答

1

没有，有没有办法绕过现代浏览器中的安全块（从Firefox 23，铬14，IE9开始）

值得庆幸的是，大部分现代浏览器默认
阻止这种类型的危险内容

ref：https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content#mixed-content-types--security-threats-associated

2017-06-10 23:25:35 Francesco

相关问题