[英]content security policy missing protocol/scheme for host/domain, is it secure?
[英]Using CSP (Content Security Policy) with a custom protocol
我有點緊張,正在開發一個基金經紀人網站。
作為我們安全策略的一部分, CSP在我們的服務器上實現,但現在,我們正在實施與斯堪的納維亞銀行( BankID )提供的桌面軟件的通信。
有了這個,出現了一個問題:要打開BankID桌面軟件,應該使用自定義協議單擊一個鏈接,如下所示:
bankid://?orderref=[GUID]&autostarttoken=[GUID]
我確信您理解,我遇到嚴重問題,允許通過我們的CSP政策進行此鏈接。 我的搜索結果沒有結果,我的想法已經用完了。
我試圖在協議下嘗試允許通配符域:
Content-Security-Policy: default-src 'self' bankid://*;
如果我關閉CSP,它的效果非常好,所以這絕對是個問題。
有人對此有經驗嗎? 任何幫助是極大的贊賞。
經過幾個小時的搜索,我在Mozilla Wiki上找到了以下內容:
我們需要一種應用程序交付機制,它可以保證應用程序的完整性和真實性,還可以實現定義明確的應用程序和權限范圍,從而可以在運行時維護完整性。
並進一步:
特權和認證的應用程序將通過一個獨特的方案(app://)訪問。 域名將對應於應用ID。
我不確定這是否適用,但如果我認為這是正確的,那就意味着Mozilla正在考慮如何解決這個問題。
看起來你非常接近解決方案,你只需稍微改變一下語法。 通過刪除斜杠它應該工作得很好。
Content-Security-Policy: default-src 'self' bankid:;
總結一下:
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.