跨域嵌入器策略:如何只允许某些域？

Question

在一个网站上，我必须嵌入一个iframe，它需要在我的网站上使用以下标题，因为它需要SharedArrayBuffer功能：

Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin

不幸的是，我的页面中仍然需要的第三方服务IFRAME不再加载。有没有办法允许第三方域名，甚至在嵌入式策略打开的情况下？

谢谢。达里奥。

Answer 1

第三方网站必须在内容安全策略响应标头中添加您的域：

来自第三方网站的响应头：

"Content-Security-Policy: frame-ancestors 'self' https://*.yourdomain.com;";

如果你不能控制它，你就无能为力了。

Answer 2

如果加载到iframe中的文档是跨域的，则需要发送以下两个headers：

Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Resource-Policy: cross-origin

如果有困难，请通过register for an origin trial暂时从您的域名中免除该要求。这将让你的网站使用没有COOP/COEP头的SharedArrayBuffer，至少在Chrome上是这样。

同时，标准主体正在努力引入一个选项来加载iframe，而不需要这些头文件。有关详细信息，请访问：

https://github.com/camillelamy/explainers/blob/master/anonymous_iframes.md

Answer 3

您需要对要嵌入的域名进行控制，才能移除/修改其CORS策略。如果域名明确地阻止了跨域请求，你对此无能为力。

这是为了避免任何人劫持任何你想要的网站(你可以在一个iframe中运行一个全屏幕的谷歌，在bettergoogle.com上运行你的广告，诸如此类)。This will help out read this one