在WordPress中构建网站时,Customizer不会加载框架来显示页面。以下是Chrome中的错误。
拒绝在框架中显示“ https://example.com/?customize_changeset_uuid= ....”,因为祖先违反了以下内容安全策略指令:“frame-ancestors https://Example.com ”。
请注意,HOST在URL中是小写的,而在frame-ancestors指令中是混合大小写。如果我在WordPress设置中将WordPress地址(URL)更改为小写,Chrome将加载该页面。这意味着Chrome会将HOST视为区分大小写。Firefox在两种情况下都会加载帧。
从我的简要阅读4.2内容安全策略第2层的源列表语法,第4.2.2节。匹配源表达式,第4.7项规定HOST不区分大小写。
- 如果源表达式的host-part的第一个字符不是U + 002A ASTERISK字符(*),并且url-host不是源表达式的host-part的不区分大小写的匹配项,则return不匹配。
这是Chrome的错误吗?我是否误解了主机的CSP2区分大小写?
以下是有人想知道的版本。
- 谷歌浏览器版本68.0.3440.106(官方版本)(64位)(在openSUSE Leap 15.0上)
- Firefox 61.0.2(64位)(在openSUSE Leap 15.0上)
- nginx 1.15.2-111.1(在openSUSE Leap 42.3上)
- WordPress 4.9.8