Ich würde vorschlagen, die URL-Schema (s) zu den Domänen in Ihrem Header Content-Security-Policy vor. Möglicherweise müssen Sie die Domäne zweimal angeben, um sowohl http als auch https abzudecken, aber es scheint das Problem zu lösen.
Ich konfrontiert ein ähnliches Problem; Wenn die übergeordnete Seite über null http serviert wurde und die iframed-Seite den CSP-Header mit der übergeordneten Domäne enthielt, aber ohne das URL-Schema, gaben sowohl Firefox als auch Chrome den von Ihnen angegebenen Fehler.
Der größte Anhaltspunkt I zu finden, warum dies in Pale Moon auftritt, ist (a Firefox Gabel) Release Notes:
26.5.0 (2016-09-28) Fixes/Änderungen:
Eine Änderung der CSP-Spezifikation (Content Security Policy) wurde implementiert. Wenn eine Seite mit CSP über HTTP geladen wird, interpretiert Pale Moon jetzt CSP -Direktiven, um auch https-Versionen der in CSP aufgeführten Hosts einzuschließen, wenn ein Schema (http/https) nicht explizit aufgeführt ist. Dies bricht mit CSP 1.0, das restriktiver ist und diesen protokollübergreifenden Zugriff nicht zulässt, entspricht jedoch CSP 2, wo dies erlaubt ist.
https://www.palemoon.org/releasenotes-archived.shtml
Allerdings scheint es, dass Pale Moon 26.5.0 noch ähnlich wie Firefox und Chrome verhält.
Scott Helme bloggte auch über eine similar issue mit Safari, aber es klingt wie dies jetzt gelöst ist.
Eine andere Sache zu beachten ist, wenn die gerahmte Seite auch X-Frame-Options Header dient. Ich glaube, Firefox und Safari sind die einzigen Browser, die sowohl den Header als auch den CSP-Header frame-ancestors unterstützen, und sicherlich scheint in Firefox X-Frame-Options Vorrang zu haben. Und mit X-Frame-Options ALLOW-FROM können Sie nur einen URI angeben, also müssen Sie möglicherweise die Header für verschiedene Browser je nach Ihren Bedürfnissen variieren.
Ja, das sieht gut aus. In meinem Fall wurde dieser Fehler behoben, indem sowohl das HTTP als auch das HTTP-Protokoll explizit zum CSP-Header hinzugefügt wurden. – DimaIT