Невозможно установить политику безопасности контента img-src для работы с доменами, специфичными для конкретной страны

Question

Я добавил следующее в заголовке, чтобы оно позволяло использовать одинаковые исходные изображения, изображения типа капли и т. Д. И изображения с карт Google.

img-src 'self' data: blob: https://maps.googleapis.com 

Для того, чтобы сделать его эффективным Google Maps URL, изменить страновые конкретные области, такие, как

http://maps.google.com.au/mapfiles/ms/icons/green-dot.png http://maps.google.co.nz/mapfiles/ms/icons/green-dot.png

Мы можем использовать подстановочные знаки перед URL, как ниже

img-src http://*.google.com.au... 

Есть ли в любом случае я могу использовать подстановочные знаки в конце URL-адреса, как показано ниже,

img-src http:/maps.google.* 

и разрешить доступ к ресурсам из maps.google.com.au или maps.google.co.nz и т. Д.?

Вместо использования https: * или разрешения для всех * Я хотел бы использовать определенные источники, подобные этому. Есть ли способ достичь этого?

Answer 1

К сожалению, подстановочные знаки для самого правого положения имени хоста не работают. Проверка на Content Security Policy страницы HTML5ROCKS, групповые символы принимаются, но только как

• схема
• порт
• крайнего левого положения хоста

Answer 2

Целью ПСА является ограничение источников, что ваш ресурсы страницы.

Wildcards позволяют немного гибкости, так что вы можете иметь:

img-src http://*.mysite.com 

А потом поставить источники из:

cdn1.mysite.com/... 
cdn2.mysite.com/... 

Однако, они не работают по-другому, потому что позволит любой.

Например, в вашем примере есть что-то вроде:

http://mysite.au/... 
http://mysite.nz/... 

Так вы «защитить» свой сайт с:

img-src http://mysite.* 

Теперь предположим, что я хочу, чтобы взломать мимо вашего сайта? Легко. - Я просто пойти купить mysite.ru, сунуть вредоносный скрипт, там и ваш сайт позволяет его

Вы можете владеть mysite в .au, и может владеть mysite в .nz, но они не имеют ничего общего друг с другом и не имеет ничего общего с каким-либо другим авторитетом домена верхнего уровня. Это даже для крупных игроков, таких как maps.google.*. Я уверен, что где-то есть уродливый TLD, который продаст мне этот домен под их кодом страны (по крайней мере, до тех пор, пока Google не подаст в суд на меня).

Подстановочный модель вы просите будет, как доверяя почту, которые пришли из «Something-стрит», но не обращая внимания на то, что страна улица была.

Вместо либо динамически обслуживать заголовок CSP, чтобы соответствовать источник, который вы используете, или включить все действительные TLD в CSP в виде списка, разделенного пробелом.