Facebook应用程序无法加载-内容安全策略&Frame-src&Quot； [英] Facebook app fails to load - Content Security Policy "frame-src"

问题描述

我们有一款Facebook应用程序，已经存在很长时间了。这是一款基于页面的应用程序，在IFRAME中加载。最近，它无法加载，Chrome控制台中出现以下错误：

[Report Only] Refused to frame 'https://edit.ihouseelite.com/' because it violates the following Content Security Policy directive: "frame-src *.doubleclick.net *.google.com *.facebook.com www.googleadservices.com *.fbsbx.com".

您可以在我们的测试页面中看到该问题：

https://www.facebook.com/Test-page-1158553550884937/app/451851288205481

第一条-此消息以"；Report Only&Quot；开头。这是否意味着此错误不是真正的错误，而可能是未来问题的迹象？

假设它确实是一个错误，我如何修复它？CSP似乎是Facebook设置的，所以他们只允许在Facebook页面内的iframe中加载特定的域名。还是我读错了？我认为在应用程序设置(基本)中设置域名可以调整CSP，但似乎没有做到这一点。我们有几千名客户在使用我们的应用程序，所以我真的很想弄清楚如何解决这个问题。欢迎所有建议。

推荐答案

是Facebook的CSP，它发布了两个CSP：content-security-policy和content-security-policy-report-only，您可以在Dev工具中看到：

在Report-Only模式下使用CSP，Facebook只是测试一些东西，没有真正的屏蔽，只是发送违规报告。
Facebook的CSP不会受到这样的影响，但在创建合法应用程序时，Facebook应该自动将应用程序的域名添加到Frame-src指令中。

这篇关于Facebook应用程序无法加载-内容安全策略&Frame-src&Quot；的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！