Открытие PDF-файла, встроенного в iframe в chrome с политикой безопасности контента> плагиновые типы

Question

У меня есть политика плагинов CSP (Content-security-policy), установленная в формате pdf белого списка, как показано ниже. При попытке открыть файл PDF в iframe с атрибутом src он хорошо работает с браузерами IE 11 и Firefox 47+, но не работает в Chrome 50+. Что еще требуется, чтобы заставить его работать в хроме?

Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self'; style-src 'self'; frame-src 'self' plugin-types application/pdf; 

Ошибка в хромированной консоли

Resource interpreted as Document but transferred with MIME type application/pdf 
Refused to load 'http://127.0.0.1/module123/open.do?id=10000' (MIME type '') because it violates the following Content Security Policy Directive: 'plugin-types application/pdf'. When enforcing the 'plugin-types' directive, the plugin's media type must be explicitly declared with a 'type' attribute on the containing element (e.g. '<object type="[TYPE GOES HERE]" ...>'). 

Answer 1

У меня была аналогичная проблема.

Для решения проблемы мне нужно было добавить blob: в директиву object-src.

Кроме того, мне не нужно указывать тип плагина.

Так было бы:

Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self' blob:; style-src 'self'; frame-src 'self';