CSP Frame Ancestors habilitado por defecto

Falco · 19 Julio, 2021 19:11

Acabamos de habilitar la directiva frame-ancestors de Content-Security-Policy (CSP) de forma predeterminada en Discourse.

De forma predeterminada, permite self y cualquier dominio permitido en Administración > Personalizar > Incrustación.

Si es necesario, un administrador del sitio puede desactivarla mediante la configuración del sitio content security policy frame ancestors, pero esto no se recomienda.

alxndr · 4 Agosto, 2021 15:38

¿Se puede configurar esto para permitir un iframe en un sitio que se ejecuta en localhost?

Falco · 4 Agosto, 2021 15:43

Puede funcionar añadiendo eso en la sección

Pero como es para desarrollo local, también puedes desactivar la CSP en tu navegador de desarrollo, lo que daría el mismo resultado.

alxndr · 5 Agosto, 2021 18:52

¡Intenté agregar localhost, tanto con como sin el puerto, pero nada… Voy a revisar cómo desactivarlo en el navegador. ¡Gracias!

Tema		Respuestas	Vistas
Understanding/working with CSP, iframes, ancestors Support	4	648	29 Enero 2024
And invalid response header is being set from embed controller Support	4	742	27 Marzo 2021
How to relax Content Security Policy Development	5	2532	11 Noviembre 2022
Mitigate XSS Attacks with Content Security Policy Site Management content-security-policy , how-to	32	24660	13 Junio 2023
How to run the discourse in Iframe? Support	1	386	17 Abril 2023

CSP Frame Ancestors habilitado por defecto

Temas relacionados