これに対する簡単な答えがあることを願っています。
「fancybox」ツールを使用して、Vimeo のビデオをページに埋め込んでいます。Fancybox は基本的に iFrame を作成し、Vimeo プレーヤーを埋め込みます。Content Security Policy をオンにするまでは、すべてのブラウザーで問題なく動作します。その後、ID は機能しますが (CSP を実装していないため)、Chrome と Firefox は「読み込み中」の画像が表示されたままハングします。
私はこのCSPを試しました:
<add header="Content-Security-Policy" value="default-src 'self'; media-src 'self' http://player.vimeo.com; frame-src 'self' http://player.vimeo.com; " />
<add header="X-Content-Security-Policy" value="default-src 'self'; media-src 'self' http://player.vimeo.com; frame-src 'self' http://player.vimeo.com; " />
<add header="X-WebKit-CSP" value="default-src 'self'; media-src 'self' http://player.vimeo.com; frame-src 'self' http://player.vimeo.com; " />
もちろん、メディアと iframe の両方が vimeo から来ることを許可していると考えています。しかし、うまくいきません。誰かが理由を知っていますか?
更新: ビデオを表示しているページだけの CSP を削除し、Google の開発者ツールでコンテンツを調べました。Vimeo は、他の Vimeo サブドメイン、vimeocdn.com、conviva.com、lphbs.com、さらには Amazon の aws からも大量のコンテンツを取り込みます。では、Vimeo (および YouTube ?) を使用している場合、非常に長い外部サイトのリストを持っているか、CSP を使用していないだけですか? どんな洞察もいただければ幸いです!