【问题标题】:CSP - Whitelist Content Location: does it work for a site that has tracking and affiliate marketing in itCSP - 白名单内容位置:它是否适用于其中包含跟踪和联盟营销的网站
【发布时间】:2013-01-29 00:28:13
【问题描述】:

CSP 使用可托管内容的域白名单。

这可以与使用联属网络营销的网站一起使用吗?通常在“订单已完成”页面上,有一个 iframe,其中托管由附属合作伙伴控制的脚本。

可以将附属脚本的域列入白名单,但我无法控制脚本的作用:我很确定它会加载其他不是白名单的内容。

是否有人对附属脚本和 CSP 有好的或不好的经验?

【问题讨论】:

    标签: whitelist affiliate content-security-policy


    【解决方案1】:

    关于本文,您必须将加载脚本的每个来源都列入白名单。各种数据的每个来源。

    http://www.domblogger.net/Security/CSP

    附属脚本的东西(我到目前为止看到的)从不从 2 级以上的位置调用脚本。脚本会请求在服务器端处理数据,并且这些请求会重定向以获取 cookie 到您的浏览器等。

    从技术上讲,您可以使用“unsafe-inline”来运行来源不明的附属产品。但不建议这样做。

    【讨论】:

      【解决方案2】:

      不幸的是,广告提供商并不总是值得信赖,由于转售广告空间,您最终可能会展示您不直接处理的广告网络的广告,并可能在您的客户上执行恶意软件。

      关于 CSP:如果你在规则上打了太多的洞,它就会变得毫无用处。 话虽如此,您可以做几件事,其中之一是:sandbox the iframe

      或者,您可以只允许使用 JavaScript 安全子集的广告(此检查可以静态执行)。 “安全”意味着document 对象不会被修改等 - 即使广告网络是恶意的,客户端也应该不受影响。

      一个重要的例子是ADsafe,但还有其他选择。

      【讨论】:

        猜你喜欢
        • 2010-09-14
        • 1970-01-01
        • 1970-01-01
        • 2017-03-03
        • 1970-01-01
        • 2011-11-03
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多