Heroku Add-on Edge CDN 覆盖 Content-Security-Policy 标头

Heroku Add-on Edge CDN overwriting Content-Security-Policy header

提问人:felixmp 提问时间:11/16/2023 更新时间:11/16/2023 访问量:10

问:

我目前正在通过 Heroku 提供我的 Shopify 应用程序。 由于 Shopify 应用是在商家后台的 iframe 中加载的,因此要求之一是正确设置标题。该值必须设置为商店 url。Content-Security-Policyframe-ancestors

我将 Edge CDN 添加到我的 Heroku 实例以缩短加载时间。实现似乎工作正常。

但是,当我将应用程序 URL 更改为新的 cloudfront URL 时,该应用程序未在 Shopify 后台中加载。

检查标题时,它显示

Content-Security-Policy: frame-ancestors 'none';

控制台显示:

Refused to frame 'https://d247hdgomt4lwm.cloudfront.net/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'none'".

直接从 url 加载它,相同的标头将被设置为 即

Content-Security-Policy: frame-ancestors https://better-bullets.myshopify.com https://admin.shopify.com https://*.spin.dev;

有没有人知道 a) 为什么标题被覆盖以及 b) 我将如何解决这个问题?

谢谢!

这是我的 Edge 仪表板:enter image description here

这是 Edge CDN 网络请求:enter image description here

这是默认的 Heroku 网络请求(这个工作正常):enter image description here

Heroku Amazon-CloudFront CDN 内容-安全-策略 shopify-app

评论

答: 暂无答案

上一个:如何将 Rails 应用程序 STDOUT 流式传输到 Cloudwatch?

下一个:Heroku 上的权限被拒绝