Youtube 如何对社交媒体按钮/小部件使用内容安全策略
我正在尝试为一个有社交媒体按钮的网站(youtube、twitter、facebook)使用内容安全策略(CSP)标题。然而,这些小部件在第三方站点的指定列表上运行脚本。社交媒体网站没有指定其脚本将访问的所有网站,因此您需要运行页面,逐个查看并查看被阻止的域,然后将它们添加到CSP标题中 这看起来很脆弱。如果社交媒体网站更改脚本并添加新域,页面将中断,因为浏览器将阻止访问新域 CSP在阻止XSS方面非常有效,但社交媒体网站似乎没有提供与之配合使用的按钮/小部件。至少,它们应该只需要一个域,并且应该指定该域是什么 我最终得到一个CSP头,如: 内容安全策略:默认src“self”。通用域名格式;img src“自我”数据:数据:;样式src“self”“unsafe inline”;字体src“self”数据: 有更好的方法吗Youtube 如何对社交媒体按钮/小部件使用内容安全策略,youtube,facebook-social-plugins,content-security-policy,twitter-button,Youtube,Facebook Social Plugins,Content Security Policy,Twitter Button,我正在尝试为一个有社交媒体按钮的网站(youtube、twitter、facebook)使用内容安全策略(CSP)标题。然而,这些小部件在第三方站点的指定列表上运行脚本。社交媒体网站没有指定其脚本将访问的所有网站,因此您需要运行页面,逐个查看并查看被阻止的域,然后将它们添加到CSP标题中 这看起来很脆弱。如果社交媒体网站更改脚本并添加新域,页面将中断,因为浏览器将阻止访问新域 CSP在阻止XSS方面非常有效,但社交媒体网站似乎没有提供与之配合使用的按钮/小部件。至少,它们应该只需要一个域,并且应