CSP 使用可以托管内容的域白名单。
这可以与使用联盟营销的网站一起使用吗?通常在“订单已完成”页面上有一个 iframe,其中包含一个由附属合作伙伴控制的脚本。
可以将附属脚本的域列入白名单,但我无法控制脚本的作用:我很确定它会加载其他不是白名单的内容。
是否有人对附属脚本和 CSP 有好的或不好的经验?
问问题
231 次
2 回答
1
不幸的是,广告提供商并不总是值得信赖,由于广告空间的转售,您最终可能会展示您不直接处理的广告网络的广告,并可能在您的客户上执行恶意软件。
关于 CSP:如果你在规则上打了太多的洞,它将变得毫无用处。话虽如此,您可以做几件事,其中之一是:将 iframe 沙箱化
或者,您可以只允许使用 JavaScript 安全子集的广告(此检查可以静态执行)。“安全”意味着document对象不会被修改等 - 即使广告网络是恶意的,客户端也应该保持不受影响。
一个有前途的例子是ADsafe,但还有其他选择。
于 2013-04-25T17:34:44.473 回答
1
关于本文,您必须将加载脚本的每个来源都列入白名单。各种数据的每个来源。
http://www.domblogger.net/Security/CSP
附属脚本的东西(我到目前为止看到的)从不从 2 级以上的位置调用脚本。脚本会请求在服务器端处理数据,例如,这些请求会重定向以获取 cookie 到您的浏览器。
从技术上讲,您可以使用“不安全内联”来运行来源不明的附属产品。但这不推荐。
于 2013-02-14T09:33:46.413 回答