Смешанный контент, Content-Security-Policy и hash-source

Я хочу открыть HTTP Iframe на странице HTTPS. Конечно, обычно это невозможно, так как это вызывает нарушение «смешанного содержания».

Есть ли способ обойти блокировку смешанного контента с помощью «Content-Security-Policy» и источников хэша?

Пример:

  • http://mysite/my-frame.html имеет хэш sha-256 sha256-xxxyyy....zzz

  • https://mysite/index.html будет обслуживаться с заголовком Content-Security-Policy, как показано ниже (или встраивает эквивалентный тег <meta>), пока заголовки CORS:

    • Content-Security-Policy: frame-src sha256-xxxxyyyy....zzz

  • https://mysite/index.html включает <iframe src='http://mysite/my-frame.html'>

Это сработает? Есть ли другой способ сделать это возможным?

примечание. Нет upgrade-insecure-requests не будет работать, потому что страница является запросом навигации И фрейм ДОЛЖЕН обслуживаться по протоколу HTTP.


content-security-policy mixed-content
person Vittorio Ballestra    schedule 31.05.2017    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Нет, нет возможности обойти блокировку безопасности в современных браузерах (начиная с Firefox 23, Chrome 14, IE9)

К счастью, большинство современных браузеров по умолчанию блокируют этот тип опасного контента.

ref: https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content#mixed-content-types--security-threats-associated < / а>

person Francesco    schedule 10.06.2017

arrow_upward
0
arrow_downward

Что, если сервер устанавливает csp child-src на http://mysite/my-frame.html? Когда я прочитал определения, это должно сработать.

child-src перечисляет URL-адреса для рабочих и встроенного содержимого фрейма. Например: child-src https://youtube.com позволит встраивать видео с YouTube, но не из других источников. Используйте это вместо устаревшей директивы frame-src.

https://www.html5rocks.com/en/tutorials/security/content-security-policy/

person sebisnow    schedule 14.01.2019