Wie funktioniert die Content-Security-Policy mit X-Frame-Optionen?

Die CSP-Direktive frame-src (die veraltet ist und durch child-src ersetzt wird) bestimmt, welche Quellen in einem Frame auf einer Seite verwendet werden können.

Der X-Frame-Options-Antwortheader bestimmt dagegen, welche anderen Seiten diese Seite in einem Iframe verwenden können.

In Ihrem Fall bedeutet http://a.com mit X-Frame-Options: DENY, dass keine andere Seite es in einem Frame verwenden kann. Es spielt keine Rolle, was http://b.com in seinem CSP hat - keine Seite kann http://a.com in einem Frame verwenden.

Der Ort, an dem sich X-Frame-Options mit CSP kreuzt, ist über die Direktive frame-ancestors . Aus der CSP-Spezifikation (Hervorhebungsmine):

Diese Anweisung ähnelt der X-Frame-Options-Kopfzeile, die mehrere Benutzeragenten haben implementiert. Der 'none'-Quellausdruck lautet entspricht in etwa der DENY, 'self' der SAMEORIGIN, und so weiter. Der Hauptunterschied besteht darin, dass viele Benutzeragenten .__ implementieren. SAMEORIGIN so, dass es nur mit der obersten Ebene übereinstimmt Speicherort des Dokuments. Diese Direktive überprüft jeden Vorfahren. Wenn überhaupt Vorfahren stimmt nicht überein, das Laden wird abgebrochen. [RFC7034]

Die frame-ancestors-Direktive ersetzt den X-Frame-Options-Header. Wenn eine Ressource über beide Richtlinien verfügt, sollte die frame-ancestors-Richtlinie durchgesetzt werden und die X-Frame-Options-Richtlinie sollte ignoriert werden.

Eine ältere Frage gab an, dass dies zu dieser Zeit in Firefox nicht funktionierte, aber hoffentlich haben sich die Dinge jetzt geändert.

UPDATE April 2018:

Richtlinie zur Inhaltssicherheit: Die Richtlinie "child-src" ist veraltet. Bitte verwenden Sie die Direktive 'worker-src' zur Kontrolle von Arbeitern oder die Direktive 'frame-src' zur Kontrolle von Frames.

Sieht aus, als wäre child-src jetzt der veraltete und frame-src ist zurück.