Content Security Policy und Frames

[Azurel]

Ich hoffe das Thema passt hier rein

Ich habe SSL aktiv und sende als Header auch CSP(Content Security Policy), um die Sicherheit weiter zu erhöhen. Bei Grafiken ist es so, dass wenn diese auf der Webseite eingebunden sind, aber über HTTP verlinkt, dann die Seite das "Sicher"-Kennzeichen verliert, aber die Bilder werden weiterhin dargestellt. Klar sollte man bemüht sein immer HTTPS anzubieten, dass ist aber alte Userconent und nicht alles kann man bisher in HTTPS umwandeln, da nicht alle Seiten HTTPS unterstützen. Soll jetzt auch nicht das Thema hier werden.

Mein Problem sind jetzt die iframes, da habe ich die externe Domains sogar freigeben:

frame-src 'self' 'nonce-random' http: https: *.youtube.com *.facebook.com

Trotzdem meldet mir der Browser

Mixed Content: The page at 'https://...' was loaded over HTTPS, but requested an insecure resource 'http://www.facebook.com/....'. This request has been blocked; the content must be served over HTTPS.

Er blockt es wirklich hart weg. Besteht die Möglichkeit HTTP iframes irgendwie anzuzeigen, wie auch bei Bildern und eben dann für diese eine Seite das "Sicher"-Kennzeichen zu verlieren?

 

[Joe User]

frame-src ist deprecated/obsolet, frame-ancestors ist Dein Freund.
Hast Du auch script-src, style-src und img-src entsprechend angepasst?

BTW: http: schliesst https: ein.

BTW2: Hast Du an die Kompatiblität gedacht und alle drei CSP-Header-Varianten gesetzt?

 

[Azurel]

Also frame-ancestors scheint mein Chrome nicht zu verstehen, er springt dann zurück auf default-src, wenn man frame-src nicht mit dazu gibt.

Note that 'frame-src' was not explicitly set, so 'default-src' is used as a fallback.

Ich habe auch alle drei Varianten drin:
X-Webkit-CSP
X-Content-Security-Policy
Content-Security-Policy

EDIT:
Ich habe ein Workaround gefunden, um das Problem zu umschiffen.
https://developer.mozilla.org/en-US...ent-Security-Policy/upgrade-insecure-requests