おさ: "普通のインスタンスなら使えるんですか？ Webブラウザのクロスドメイン対策について - クライアン…" - :realtek:

おさ @[email protected]

普通のインスタンスなら使えるんですか？
Webブラウザのクロスドメイン対策について - クライアント - Mastodon 日本語メタフォーラム
https://discourse.mstdn.jp/t/web/51 https://mstdn.nere9.help/media/sqtGdXYhcLcD0MVNgEA

34a0a29097a53178.png

2017年11月13日 10:41 · · · ·

2017年11月13日 10:42

おさ @[email protected]

あ、イカトドンだと動くわ。じゃあnere9の設定か。

2017年11月13日 10:44

unarist @[email protected]

@osapon そのトピックはAPI呼び出しに伴うCORS制約の話だと思ってたのでその話をしていますが、それは Content-Security-Policy ヘッダに書かれた frame-ancestors 'none' が原因でiframeで埋め込めなくなっていますね。 https://jpcertcc.github.io/OWASPdocuments/CheatSheets/ClickjackingDefense.html#Defending_with_Content_Security_Policy_frame-ancestors_directive

ログインして会話に参加