Refused to display because an ancestor violates the following Content Security问题简单解决

最新推荐文章于 2024-03-28 11:12:13 发布

AnNong。

最新推荐文章于 2024-03-28 11:12:13 发布

阅读量9.1k

点赞数

CC 4.0 BY-SA版权

分类专栏： workspace 文章标签： meta iframe中访问https

本文链接：https://blog.csdn.net/AdminC/article/details/108406941

workspace 专栏收录该内容

27 篇文章

订阅专栏

http的iframe中访问https页面简单解决办法

在公司云平台（微信企业号及公众号管理）上需要显示其他公众号微信文章，正常来说直接在富文本编辑器中设置超连接是没问题的，但是微信文章是https开头，而服务器http开头，导致页面报错：

Refused to display 'https://mp.weixin.qq.com/xxx' in a frame because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'

解决方案：在页面中设置meta ，url可动态设置

 <meta http-equiv="refresh" content="0;url=${contentColumn.URL}">

iframe设置如下：

<iframe src="${contentColumn.URL}" frameborder="0" scrolling="no" style="width: 100%;height: 100%"></iframe>

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

AnNong。

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
4
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

uni-app - Refused to display ‘xxx‘ in a frame because an ancestor violates the following Content Sec

资深程序员

07-19

5384

uni-app-Refusedtodisplay‘xxx‘inaframebecauseanancestorviolatesthefollowingContentSec

Cordova页面解析页面中script标签内容失败，Refused to execute inline script because it violates the following

天马3798

02-16

2万+

一、异常内容： Refused to execute inline script because it violates the following Content Security Policy directive: "default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'". Either the 'u...

4 条评论您还未登录，请先登录后发表或查看评论

an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘none‘”.

sqlora的专栏

09-01

2万+

一.从 iframe 说起利用iframe能够嵌入第三方页面，例如： <iframe style="width: 800px; height: 600px;" src="https://www.baidu.com"/> 然而，并非所有第三方页面都能够通过iframe嵌入： <iframe style="width: 800px; height: 600px;" src="https://github.com/join"/> Github 登录页并没有像百度首页一样

Refused to frame ‘XXX‘ because an ancestor violates the following Content Security Policy directive:

tomcat_little的博客

04-12

1万+

【nginx启动报错】Refused to frame ‘https://docs.github.com/‘ because an ancestor violates the following Co

态度决定一切

04-22

9060

Refused to frame 'https://docs.github.com/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self' github.com *.github.com *.githubusercontent.com *.githubassets.com".

JIRA出现Refused to display 'URL' in a frame because an ancestor violates the following Co错误

曲行客的专栏

10-10

6225

今天在Linux服务器配置安装好JIRA后，通过服务器IP地址加端口可以访问成功。之后领导要求将服务器IP绑定到公司一个二级域名下。通过访问这个二级域名可以直接访问JIRA。最开始的想法是修改JIRA访问端口，改为80端口，这样就可以直接访问。但80端口被占用了。之后选择将80端口流量转发给设定的8080端口，但是这样会导致服务器上其他软件访问80端口时肯定报错。最后想到了通过配置域名解析隐...

Refused to execute inline event handler because it violates the following Content Security Policy di...

weixin_33698043的博客

04-10

7253

/********************************************************************************* * Refused to execute inline event handler because it violates the following Content Security Policy directive: "xx...

Refused to frame 'https://www.baidu.com/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'

06-01

这是一个网站的错误信息，意思是该网站设置了 Content Security Policy，禁止其他网站通过 iframe 等方式将其内容嵌入到自己的页面中。这是为了防止恶意网站通过 iframe 等方式进行钓鱼攻击、点击劫持等安全问题。...

内容安全策略（content-security-policy）

热门推荐

我的LOG

12-31

3万+

iframe 在使用iframe 的时候 <iframe style="border:0;width:100%;height:100%" src="https://github.com/join"/> 经查报的是 Refused to frame ‘https://github.com/’ because an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘non

Refused to load the image '' because it violates the following Content Security Policy directive: "img-src 'self' blob:data:".

09-28

引用:Refused to display ‘https://github.com/join’ in a frame because an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘none'”. 根据引用内容所提供的信息，当...

Refused to frame ‘http://x/‘ because it violates the following Content Security Pollicy directive: “

weixin_44365001的博客

01-03

1387

Refused to frame ‘http://10.100.131.22:9510/’ because it violates the following Content Security Policy directive: “frame-src ‘self’”.这个报错啥意思，怎么解决啊，表单显示不出来，

【Vue3】Refused to frame ‘http://www.xxxxx.com/‘ because it violates the following Content Security

m0_64494670的博客

12-22

4289

Refused to frame 'http://www.xxxxx.com/' because it violates the following Content Security 解决：

【问题出现】because it violates the following Content Security Policy directive: “default-src ‘self‘“

weixin_44943389的博客

03-15

1万+

这个错误表明您的网站正在尝试从一个不在内容安全策略（Content Security Policy，CSP）允许列表中的源进行资源预获取（prefetch）。如果您是通过后端代码（如 Node.js、PHP 等）设置 CSP 的，您需要在响应头中添加或更新 CSP。如果您是通过 Web 服务器（如 Apache 或 Nginx）设置 CSP 的，您需要在服务器配置文件中更新 CSP 设置。要解决这个问题，您需要更新您网站的内容安全策略（CSP），以允许从。在这个特定的错误中，您的网站尝试从。

引入jupyter的html作为iframe时遇到的跨域问题an ancestor violates the following Content Security Pol

weixin_42424451的博客

05-05

2097

jupyter生成的html作为iframe嵌过去，遇到an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘self’问题解决办法在启动时加入以下–NotebookApp.tornado_settings： jupyter notebook --NotebookApp...

Refused to load the image '<URL>' because it violates the following content security polity diretive

Alice9969的博客

03-02

1万+

转载地址：https://www.cnblogs.com/xiaoxiaoluoye/p/6945044.html 深入学习地址：https://www.cnblogs.com/Hwangzhiyoung/p/9146740.html 控制台报错： Refused to load the image '<URL>' because it violates the follo...

Refused to execute inline script because it violates the following Content Security Policy directive

Lam's IT Story

02-08

2万+

问题描述：在popup.html页面中使用JavaScript脚本报错，错误详情如下： Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self' blob: filesystem: chrome-extension-resource:". Either the 'unsafe-inline' keyword, a has

接口请求出现because it violates the followingContent Security Policy directive: “default-src ‘self‘“. Note

dujunuan的博客

03-28

8225

因为在Content Securty Policy中，没有配置对应的部分，那么会默认使用default-src指令，而defauit-src指令中没有设置我们发送请求un设置，因此拒绝访问。只要是配置了connect-src指令，则不会使用默认指令default-src。

开发chrome谷歌插件报错：Refused to execute inline event handler because it violates the following Content Sec

qq_43429963的博客

01-14

9162

报错信息： Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval'". Either the 'unsafe-inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required to enable

Refused to frame 'https://xxxx.com/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'

最新发布

03-28

<think>好的，我现在要帮用户解决一个关于内容安全策略（CSP）的错误，具体是“Refused to frame 'https://xxxx.com/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'"”。首先，我需要理解这个错误的原因。用户遇到的错误信息说明他们试图在一个网页中通过框架（如 `<iframe>`）嵌入另一个网站的内容，但被目标网站的CSP阻止了。CSP中的 `frame-ancestors` 指令限制了哪些页面可以嵌入该资源。这里的设置是 `'self'`，意味着只有同源的页面才能嵌入。如果用户的页面与目标网站的域名不同，就会被阻止。接下来，我需要考虑可能的解决方案。首先，用户可能需要检查他们是否有权修改目标网站的CSP。如果有权限，可以调整 `frame-ancestors` 设置，添加允许的域名。例如，改成 `frame-ancestors 'self' https://yourdomain.com`。但如果没有权限，比如目标网站是第三方，用户可能需要联系对方请求修改，或者寻找替代方案，比如API或直接链接。另外，用户可能没有意识到自己的页面存在被嵌套的情况，比如被其他网站嵌入，这时候需要检查自己的CSP是否过于严格。或者用户自己的页面嵌套了其他资源，需要确保所有被嵌套的资源都符合CSP规则。还需要考虑其他可能性，比如是否有拼写错误或配置错误导致CSP未正确应用，或者是否有多个CSP头冲突。建议用户检查服务器配置和响应头，使用浏览器开发者工具查看实际的CSP设置。最后，要确保用户理解修改CSP可能带来的安全风险，比如开放`frame-ancestors`可能导致点击劫持攻击，因此需要谨慎处理，只添加可信的域名。总结下来，回答需要分步骤说明错误原因，提供解决方案，并提醒安全注意事项，确保用户能够清晰理解和操作。</think>你遇到的错误信息涉及内容安全策略（Content Security Policy, CSP），具体与网页中的框架（iframe）嵌入限制有关。以下是对该问题的详细解释及解决方法： --- ### **错误原因** 当浏览器尝试通过 `<iframe>` 嵌入外部网页时，目标网页的服务器通过 CSP 的 `frame-ancestors` 指令明确限制了允许嵌入的父页面。错误提示： $$ \text{Refused to frame 'https://xxxx.com/' because an ancestor violates CSP: "frame-ancestors 'self'"} $$ 表示： - 目标网站（`https://xxxx.com/`）的 CSP 设置中，`frame-ancestors 'self'` 仅允许**同源页面**（相同协议、域名、端口）将其作为框架嵌入。 - 当前你的页面（或父级页面）与目标网站不同源，因此被拒绝加载。 --- ### **解决方案** #### 1. **修改目标网站的 CSP 配置（需权限）** - 如果你能控制目标网站（`https://xxxx.com/`），需调整其 CSP 的 `frame-ancestors` 指令，添加允许嵌入的域名： ```http Content-Security-Policy: frame-ancestors 'self' https://yourdomain.com; ``` （将 `https://yourdomain.com` 替换为你的实际域名） - 若要允许任意域名嵌入，可设为： ```http Content-Security-Policy: frame-ancestors *; ``` *注意：此操作存在安全风险，仅建议用于测试环境。* #### 2. **联系目标网站管理员（第三方网站）** - 如果目标网站属于第三方，你无法修改其 CSP，需联系对方请求添加你的域名到 `frame-ancestors` 白名单。 #### 3. **替代方案** - **避免使用 iframe**：通过 API 获取数据，或直接链接到目标网站。 - **后端代理**：通过自己的服务器代理目标网页（需处理跨域和内容合法性）。 --- ### **检查与验证** 1. **确认 CSP 配置** 使用浏览器开发者工具（按 F12），在 **Network** 标签中检查目标网页的响应头，确认 `Content-Security-Policy` 或 `Content-Security-Policy-Report-Only` 的值。 2. **检查嵌套层级** 如果你的页面本身被其他页面嵌套，需确保所有祖先页面均符合 CSP 规则。 --- ### **安全提醒** 放宽 `frame-ancestors` 可能导致点击劫持（Clickjacking）攻击。建议遵循最小权限原则，仅添加可信域名。希望以上分析能帮助你解决问题！