Content-Security-Policy
是否忽略由服务器返回的X-Frame-Options
,还是X-Frame-Options
仍然是主要的?
假设我有:
- 一个带有
X-Frame-Options: DENY
的网站http://a.com - 一个带有
Content-Security-Policy: frame-src a.com
的网站http://b.com
浏览器会加载这个frame吗?
不清楚。
一方面,http://a.com明确拒绝框架。
另一方面,http://b.com明确允许对http://a.com进行框架。