关于 X-Frame-Options 和 Content-Security-Policy: frame-ancestors 的基础问题:如果想在本地机器上使用嵌入式生产站点(可以调整标头),是否需要将 localhost 添加到 Content-Security-Policy 中的 frame-ancestors?X-Frame-Options SAMEORIGIN 将不起作用吗?
您需要从框架响应中剥离这些头部,以便不会阻止渲染。
在本地,唯一适用的是frame-src出现在localhost响应中,允许您嵌入生产站点(不设置csp也可以工作)。
<iframe />,我就没有机会去除头部信息了吗? - orbiteleven