Erreur de politique de sécurité du contenu lors du chargement Iframe

Question

Nous avons une erreur de politique de sécurité du contenu lors du chargement d'un iframe sur notre site Web.

L'Iframe charge un site distinct dans un répertoire virtuel pour notre application. L'application fonctionne correctement lorsqu'elle est ouverte de manière indépendante dans un onglet distinct, mais ne fonctionne pas dans le cadre iFrame du site parent.

Nous avons essayé d'ajouter une balise META <meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' http://* 'unsafe-inline'; script-src 'self' http://* 'unsafe-inline' 'unsafe-eval'" /> dans la page principale du site, mais cela n'a pas fonctionné.

Nous avons également ajouté X-Frame-Options dans IIS Http Response Header avec la valeur "ALLOW-FROM https://virtual directory Ip Name/" mais toujours pas de succès.

Le problème est présent dans IE et le chrome.
Console Connexion chrome:

Erreur Capture d'écran:

Answer 1

Essayez d'ajouter une entrée de configuration comme ci-dessous:

`<system.webServer> 
    <httpProtocol> 
    <customHeaders> 
     <add name="Content-Security-Policy" value="default-src 'self';" /> 
    </customHeaders> 
    </httpProtocol> 
</system.webServer>` 

default-Src avec 'soi' indique que chargement de contenu tel que JavaScript, Images, CSS, Font's, requêtes AJAX, cadres, HTML5 Media de la même origine. De même, vous pouvez changer la politique pour le contenu dans Iframe en utilisant child-src et mentionner le site que vous souhaitez charger. S'il a la même origine/domaine, vous pouvez utiliser 'self'.

Plus de détails peuvent être trouvés here