是否允许HTTP标头允许的最大允许大小?如果是这样,它是什么?如果没有,这是特定于服务器的东西,还是允许任何大小的标题的公认标准?
我正在将 CSP 标头的域列入白名单。是否有任何建议将大量域名列入白名单,所有域名都属于同一家公司google.de,例如google.fr、 等。
如果我理解正确的话,*.mydomain.com意味着它的子域mydomain.com和mydomain.com它本身。对于安全性本身来说,允许的任何顶级域是没有意义的,但是如果有一种简写方式来列出我能找到的google.<tld>所有域,将会非常方便。google.<tld>
是否有更短/更好的替代方案来维护所有可能的列表google.*?
我嵌入了这样的分析:
<script type="text/javascript" async="" src="http://www.google-analytics.com/plugins/ua/linkid.js"></script>
然后我将一些谷歌域名添加到CSP中,如下所示:
BrowserPolicy.content.allowScriptOrigin("*.google-analytics.com");
BrowserPolicy.content.allowImageOrigin("*.google.com");
这样可以很好地加载,但是一旦Google Analytics尝试发送一些跟踪信息,它有时会尝试从google.pl加载图片(基于位置).有没有办法确保只使用.com?我显然无法列出CSP标头中的所有谷歌域名.
确切的错误是:
拒绝加载图片" https://www.google.pl/blabla ",因为它违反了以下内容安全策略指令:"img-src data:' self'http://*.doubleclick.net https://*.doubleclick.net http://*.facebook.com https://*.facebook.com http://*.google.com https://*.google.com http://www.google-analytics .com https://www.google-analytics.com ".
如果它很重要,这里使用的框架是:Meteor 1.3.5.1和浏览器策略包browser-policy@1.0.9