フレームに表示することを拒否しました

Question

iframeを使用してカレンダーを表示しています。しかし、私は次のことを続けています。 「フレーム-先祖の自己」https://mail.google.com https://inbox.google.comます。https：// .force.comます。https：/ 祖先は、次のコンテンツセキュリティポリシーの指示に違反しているため

は、フレーム内の 'https://cal.mixmax.com/user1' を表示することを拒否しました/ .mixmax.com "

私はContent-Security-Policyのメタを次のようにしましたが、運がないとしました。

<meta http-equiv="Content-Security-Policy" 
     content="frame-ancestors 'self' 
     https://mail.google.com 
     https://inbox.google.com 
     https://*.force.com 
     https://*.mixmax.com"> 

どのようにそれを克服するか？

Answer 1

問題はあなた側の設定ミスではなく、Mixmax側のCSPディレクティブにあります。彼らは、自分のページに次のディレクティブを持っている：

content-security-policy: frame-ancestors 'self' https://mail.google.com https://inbox.google.com https://*.force.com https://*.mixmax.com;; frame-src https://*.stripe.com https://*.facebook.com https://*.mixmax.com

あなたが記載されているドメインのいずれかからでない限り、あなたは、それをフレームすることはできません。

これを克服する方法の1つは、サイトにプロキシを作成し、クライアントの代わりにMixMaxにアクセスし、CSPがクライアントのみであるため、フレームにデータを送信することです。