作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
CSP 使用可以托管内容的域白名单。
这可以与使用联属网络营销的网站一起使用吗?通常,“订单已完成”页面上有一个 iframe,其中托管由联属合作伙伴控制的脚本。
将附属脚本的域列入白名单是可以的,但我无法控制脚本的作用:我很确定它会加载不在白名单中的其他内容。
有人对联属脚本和 CSP 有好的或坏的经验吗?
最佳答案
不幸的是,广告提供商并不总是值得信赖,由于广告空间的转售,您最终可能会展示您不直接处理的广告网络的广告,并可能在您的客户上执行恶意软件。
关于CSP:如果你在规则中打太多漏洞,它就会变得毫无用处。话虽这么说,您可以做几件事,其中之一:sandbox the iframe
或者,您可以只允许使用 JavaScript 安全子集的广告(此检查可以静态执行)。 “安全”意味着文档
对象不会被修改等 - 即使广告网络是恶意的,客户端也应该保持不受影响。
promiment 示例是 ADsafe ,但还有其他选择。
关于whitelist - CSP - 白名单内容位置 : does it work for a site that has tracking and affiliate marketing in it,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14853899/
我是一名优秀的程序员,十分优秀!