我将CSP标头的域列入白名单。是否有任何关于将大型域列表列入白名单的建议,这些域名都属于同一家公司,例如google.de
,google.fr
等
如果我理解正确,*.mydomain.com
意味着mydomain.com
和mydomain.com
本身的子域。对于安全本身来说,允许google.<tld>
的任何顶级域名都没有意义,但是用一种速记方式列出我能找到的所有google.<tld>
会非常方便。
是否有更短/更好的替代方法来维护所有可能的google.*
列表?
至少目前,一个看似可靠的名单将是:https://www.google.com/supported_domains