CSP che consente tutti i domini di Google?

9

Sto cercando di sviluppare un CSP per il sito link .

In questo momento esiste un criterio rispetto alle esecuzioni in modalità solo report, quindi al momento non viene bloccato nulla.

Il sito contatta googleads.g.doubleclick.net e stats.g.doubleclick.net. Quindi ho inserito questi host nella lista bianca.

Tuttavia, sembra che questi siti (rendano l'utente) caricino contenuti da www.google.com e www.google.YOURTLD. Posso vedere le violazioni di CSP segnalate in cui il browser desiderava contattare link , link , link , e così via.

Ora non voglio mettere tutti i domini google nel CSP.

Ho pensato di consentire il collegamento . * (non so se questo è valido anche in un CSP) ma questa espressione non corrisponderebbe URL come link .

Quindi, come posso creare un CSP valido in questo caso?

    
posta HorstKevin 15.12.2016 - 12:13
fonte

4 risposte

3

Spero che Google legga anche questo, che dovrebbero cambiare GoogleAds e Google Analytics servendo queste immagini da ar.images.google.com e be.images.google.com, quindi possiamo impostare il nostro CSP utilizzando image-src: 'self' *.images.google.com . Questo perché utilizzando lo standard CSP corrente non è possibile utilizzare un carattere jolly per il dominio di primo livello nell'intestazione Content-Security-Policy, solo sul nome host. E per Google analytics sembra una modifica senza molto impatto.

Btw: Sentry.com offre un URL di segnalazione CSP.

    
risposta data 02.02.2017 - 07:08
fonte
2

Il problema qui non è con il tuo CSP, ma più su come gli obiettivi di CSP e di Google Analytics e sistemi di tracciamento simili sono in disaccordo tra loro.

L'intestazione Content-Security-Policy è stata progettata partendo dal presupposto che i proprietari dei siti conoscono e controllano tutto il contenuto che viene eseguito sulle loro pagine e che è quindi possibile escludere tutto il resto. Questo non è il caso del codice di tracciamento e annuncio sulle pagine, dove anche una terza parte sta eseguendo il suo codice.

Per le applicazioni di "alta sicurezza", come i siti web di Internet banking, i processori di pagamento e simili, è spesso possibile ridurre al minimo il numero di sistemi di terze parti utilizzati: le banche tenderanno a gestire i propri sistemi di analisi, invece di utilizzare Google, e non avrà pubblicità di terze parti su pagine all'interno dell'applicazione di internet banking. Questo indica un'opzione per avere un CSP valido: ospita il tuo codice di tracciamento e pubblicità su un dominio che controlli. Questo non è sempre fattibile per un'azienda più piccola.

Potresti anche cercare di spostare elementi sicuri del tuo sito in un sottodominio e applicare un CSP rigoroso a questo, con una politica più rilassata sulle parti aperte. Ciò significa che il contenuto statico o il contenuto di cui si è certi non può essere modificato o aggiunto dagli utenti, può essere offerto con annunci / tracciamento, mentre le sezioni autenticate o le sezioni in cui viene visualizzato il contenuto dell'utente potrebbero essere limitate ai domini conosciuti . Non è perfetto, ma è migliore di un CSP aperto che consente tutti i nomi degli host.

    
risposta data 27.01.2017 - 18:26
fonte
2

In aggiunta - non solo è non supportato , non lo vorrai anche se era supportato.

Poiché https://www.google.* corrisponderebbe quindi non solo a https://www.google.co.uk ma anche a https://www.google.evilattacker.com . E si può essere sicuri che sia esattamente l'URL che gli hacker utilizzerebbero, in quanto darebbe loro la migliore leva contro CSP sulla maggior parte dei siti.

    
risposta data 24.05.2018 - 01:08
fonte
0

Hai considerato l'utilizzo di uno strumento online, ad es. report-uri ?

[aggiornato]

I caratteri jolly dell'host non sono legali (vedi questa specifica ):

Each source expression's host name MAY contain up to one wildcard (*) and it MUST be the left-most DNS label.

Hai considerato di servire le tue pagine web con un'intestazione CSP diversa a seconda della geolocalizzazione degli utenti? Quindi le persone dal Regno Unito otterrebbero un CSP che consente * .google.co.uk e così via.

    
risposta data 27.01.2017 - 13:49
fonte

Leggi altre domande sui tag