iframe rifiuta di visualizzare

Question

Sto provando a caricare un iframe semplice in una delle mie pagine Web ma non viene visualizzato. Sto ottenendo questo errore in Chrome:

Refused to display 'https://cw.na1.hgncloud.com/crossmatch/index.do' in a frame because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self' https://cw.na1.hgncloud.com". 


Invalid 'X-Frame-Options' header encountered when loading 'https://cw.na1.hgncloud.com/crossmatch/index.do': 'ALLOW-FROM https://cw.na1.hgncloud.com' is not a recognized directive. The header will be ignored. 

Questo è il codice per la mia iframe:

<p><iframe src="https://cw.na1.hgncloud.com/crossmatch/" width="680" height="500" frameborder="0"></iframe></p> 

io non sono davvero sicuro che cosa significa. Ho caricato molti iframe prima e non ho mai ricevuto tali errori.

Qualche idea?

Grazie

Answer 1

Ciò significa che il server http presso cw.na1.hgncloud.com inviare alcune intestazioni HTTP per raccontare browser come Chrome per consentire il caricamento iframe di quella pagina (https://cw.na1.hgncloud.com/crossmatch/) solo da una pagina ospitata sullo stesso dominio (cw.na1 .hgncloud.com):

Content-Security-Policy: frame-ancestors 'self' https://cw.na1.hgncloud.com 
X-Frame-Options: ALLOW-FROM https://cw.na1.hgncloud.com 

Si consiglia di leggere che:

• https://developer.mozilla.org/en-US/docs/Web/Security/CSP
• https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

Answer 2

La ragione per l'errore è che il server host per https://cw.na1.hgncloud.com ha fornito alcuni header HTTP per proteggere il documento. Uno dei quali è che gli antenati del frame devono appartenere allo stesso dominio del contenuto originale. Sembra che tu stia tentando di inserire l'iframe in una posizione di dominio che non è uguale al contenuto dell'iframe, violando così il criterio di sicurezza del contenuto impostato dall'host.

Dai un'occhiata a questo link su Content Security Policy per ulteriori dettagli.