我正在使用内容安全策略来处理带有嵌入式推文的页面,并且正在获取https://cdn.syndication.twimg.com的报告,这在我的策略中是不允许的。
这是一个相当长的政策,但相关的部分是
default-src 'none'; ... script-src 'self' apis.google.com platform.twitter.com; ...
但是,如果将cdn.syndication.twimg.com或*.twimg.com添加到标题的script-src部分,则通过Google CSP evaluator运行标题时会收到警告:
已知[
cdn.syndication.twimg.com承载着允许绕过此CSP的JSONP端点。
其他一些域也引发此警告。
似乎我处在困境中:要么我禁止Twitter运行脚本(需要吗?我真的不知道),并获取违反政策的报告,或者我正在运行几乎没有用的CSP 。
有没有办法解决这个难题?
我不知道这是验证程序错误还是细微的改进,但是如果将script-src更改为script-src-elem,验证程序不会抱怨。