我为使用https://www.youtube.com/iframe_api的JavaScript文件的应用程序之一定义了内容安全策略,如下所示;
<meta http-equiv="Content-Security-Policy"
content="script-src 'self' https://www.youtube.com;
child-src https://www.youtube.com;">
现在使用chrome dev工具,我得到以下错误:
拒绝加载脚本'https://s.ytimg.com/yts/jsbin/www-widgetapi-vflaaT2_k/www-widgetapi.js',因为它违反了以下内容安全策略指令:“script-src'self'https://www.youtube.com”。
我应该将https://s.ytimg.com添加到内容安全策略设置吗?
如果是,它是否构成安全风险,因为无法保证它是否会随着时间的推移而发生变化?
如何有效地为YouTube定义内容安全策略?
是的,这正是你需要做的。 Ytimg是YouTube的静态文件CDN。