我将CSP标头的域列入白名单。是否有任何关于将大型域列表列入白名单的建议,这些域名都属于同一家公司,例如google.de,google.fr等
如果我理解正确,*.mydomain.com意味着mydomain.com和mydomain.com本身的子域。对于安全本身来说,允许google.<tld>的任何顶级域名都没有意义,但是用一种速记方式列出我能找到的所有google.<tld>会非常方便。
是否有更短/更好的替代方法来维护所有可能的google.*列表?
至少目前,一个看似可靠的名单将是:https://www.google.com/supported_domains