firefox - the - google analytics content security policy
¿Cómo usar frame-src y child-src en Firefox y otros navegadores? (1)
La página MDN de las directivas de Política de seguridad de contenido indica que frame-src está en desuso y child-src se debe usar. Sin embargo, Firefox 37 muestra el siguiente mensaje de error cuando intento utilizar child-src
Content Security Policy: Couldn''t process unknown directive ''child-src'' <unknown>
Esta aparente falta de apoyo no está documentada (por lo que pude ver) lo que es frustrante. ¿Hay algún lugar donde esté documentado el soporte del navegador?
Actualmente estoy usando frame-src además de child-src, que parece funcionar. Sin embargo, ahora me pregunto si existe algún conflicto potencial entre los dos. ¿Presumiblemente frame-src será ignorado por los navegadores compatibles con child-src? ¿Eso está garantizado?
Actualización: enero de 2017:
Deje de usar child-src
y comience a utilizar frame-src
nuevamente.
En un esfuerzo por crear aún más confusión, CSP Level 3 ha redefinido frame-src
y en realidad lo ha redefinido como la forma preferida de lograrlo. Mientras child-src
todavía es compatible, frame-src
es una vez más preferido.
Publicación anterior
frame-src
está en desuso, pero solo recientemente se hizo en CSP Nivel 2 y no todos los navegadores están hasta la última versión de la especificación.
El mejor enfoque en este momento para la máxima compatibilidad del navegador es incluir tanto child-src
como frame-src
con valores idénticos. Los navegadores que solo admiten la especificación CSP original utilizarán frame-src
mientras que los más nuevos utilizarán child-src
.
Esa advertencia de consola de desarrollador no tiene consecuencias y es meramente informativa. Sugeriría que lo ignore por ahora, porque en un año a partir de ahora es muy posible que vea uno que dice que frame-src
está en desuso.
En este momento, me aseguro de que ambos se utilicen cuando sea necesario y pretendan dejar de proporcionar frame-src
en enero de 2017.
Soporte de nivel 2 de CSP: