web-dev-qa-db-fra.com

Comment utiliser frame-src et child-src dans Firefox et autres navigateurs?

La page MDN sur les directives de politique de sécurité du conten indique que frame-src est obsolète et que child-src doit être utilisé. Cependant, Firefox 37 donne le message d'erreur suivant lorsque j'essaie d'utiliser child-src

Content Security Policy: Couldn't process unknown directive 'child-src' <unknown>

Ce manque apparent de soutien n'est pas documenté (pour autant que je sache), ce qui est frustrant. Existe-t-il un endroit où la prise en charge du navigateur est documentée?

Actuellement, j'utilise frame-src en plus de child-src, qui semble fonctionner. Cependant, je me demande maintenant s'il existe un risque de conflit entre les deux. Vraisemblablement frame-src sera ignoré par les navigateurs qui prennent en charge child-src? Est-ce garanti?

firefoxcontent-security-policy
28
ChrisD

Mise à jour: janvier 2017:

Arrête d'utiliser child-src et commencez à utiliser frame-src encore.

Dans un effort pour créer encore plus de confusion, le niveau CSP 3 n'a pas déprécié frame-src et l'a reconduit comme moyen privilégié pour y parvenir. Tandis que child-src est toujours pris en charge frame-src est de nouveau préféré.

Ancien message

frame-src est déconseillé, mais il n'a été créé que récemment dans CSP niveau 2 et tous les navigateurs ne sont pas à la dernière version de la spécification.

La meilleure approche à l'heure actuelle pour une compatibilité maximale du navigateur consiste à inclure à la fois child-src et frame-src avec des valeurs identiques. Les navigateurs qui ne prennent en charge que la spécification CSP d'origine utiliseront frame-src tandis que les plus récents utiliseront child-src.

Cet avertissement de la console développeur est sans conséquence et simplement informatif. Je vous suggère de l'ignorer pour le moment, car dans un an, vous pourriez très bien en voir un dire que frame-src est obsolète.

Pour le moment, je m'assure que les deux sont utilisés lorsque cela est nécessaire et j'ai l'intention de cesser de fournir frame-src en janvier 2017.

Prise en charge CSP niveau 2:

41
anthonyryan1