我正在开发一个salesforce应用程序,它在salesforce页面的iframe中呈现 . 使用node express server呈现此页面 . 作为安全审查的一部分,我想只在salesforce页面中进行渲染,如果嵌入其他任何地方则阻止 .
为此,我添加了content-security-policy标头,如下所示:
response.header("Content-Security-Policy", "frame-ancestors salesforce.com");
但它也在salesforce页面上被阻止了 .
错误:
拒绝在框架中显示“https:// localhost:8000 / authenticate”,因为祖先违反了以下内容安全策略指令:“frame-ancestors salesforce.com” . *
我的iframe正在渲染的salesforce app url:https://ap4.salesforce.com/0016F00001vmoMu
我尝试在指令中给域名 *.salesforce.com
. 但它也没有用 .
有人可以帮助我在哪里做错了吗?
1 回答
设置此策略使其能够在所有浏览器中呈现