whitelist - CSP - 白名单内容位置 : does it work for a site that has tracking and affiliate marketing in it

Question

CSP 使用可以托管内容的域白名单。

这可以与使用联属网络营销的网站一起使用吗？通常，“订单已完成”页面上有一个 iframe，其中托管由联属合作伙伴控制的脚本。

将附属脚本的域列入白名单是可以的，但我无法控制脚本的作用:我很确定它会加载不在白名单中的其他内容。

有人对联属脚本和 CSP 有好的或坏的经验吗？

Answer 1

不幸的是，广告提供商并不总是值得信赖，由于广告空间的转售，您最终可能会展示您不直接处理的广告网络的广告，并可能在您的客户上执行恶意软件。

关于CSP:如果你在规则中打太多漏洞，它就会变得毫无用处。话虽这么说，您可以做几件事，其中之一:sandbox the iframe

或者，您可以只允许使用 JavaScript 安全子集的广告(此检查可以静态执行)。 “安全”意味着文档对象不会被修改等 - 即使广告网络是恶意的，客户端也应该保持不受影响。

promiment 示例是 ADsafe ，但还有其他选择。