不会加载以子域为目标的iframe。

Posted 2021-04-01

我一直在尝试将iframe加载到我的网站中，但它无效，Chrome控制台会显示以下错误消息：

拒绝在框架中显示'https://viewtrip.travelport.com/#!/itinerary?loc=xxx'，因为祖先违反了以下内容安全政策指令：“frame-ancestors https://viewtripnextgen-api.travelport.com”。

我也试图添加https://viewtripnextgen-api.travelport.com作为框架祖先，但它没有任何区别。我真的对如何解决这个问题毫无头绪。

答案

错误消息表示如果您的<iframe>标记显示在URL https://viewtripnextgen-api.travelport.com的页面上，则您只能在iframe中显示该页面。

我还尝试添加https://viewtripnextgen-api.travelport.com作为框架祖先

唯一的方法是运行travelport.com网站。

唯一的另一种选择是改变https://viewtrip.travelport.com的CSP，你也可以只在你运行travelport.com网站时才这样做。

作为第三方想要将其他人的内容放入您的iframe，如果他们拒绝（他们是），那么您就无法做到。