CSP che consente tutti i domini di Google?

Spero che Google legga anche questo, che dovrebbero cambiare GoogleAds e Google Analytics servendo queste immagini da ar.images.google.com e be.images.google.com, quindi possiamo impostare il nostro CSP utilizzando image-src: 'self' *.images.google.com . Questo perché utilizzando lo standard CSP corrente non è possibile utilizzare un carattere jolly per il dominio di primo livello nell'intestazione Content-Security-Policy, solo sul nome host. E per Google analytics sembra una modifica senza molto impatto.

Btw: Sentry.com offre un URL di segnalazione CSP.

Il problema qui non è con il tuo CSP, ma più su come gli obiettivi di CSP e di Google Analytics e sistemi di tracciamento simili sono in disaccordo tra loro.

L'intestazione Content-Security-Policy è stata progettata partendo dal presupposto che i proprietari dei siti conoscono e controllano tutto il contenuto che viene eseguito sulle loro pagine e che è quindi possibile escludere tutto il resto. Questo non è il caso del codice di tracciamento e annuncio sulle pagine, dove anche una terza parte sta eseguendo il suo codice.

Per le applicazioni di "alta sicurezza", come i siti web di Internet banking, i processori di pagamento e simili, è spesso possibile ridurre al minimo il numero di sistemi di terze parti utilizzati: le banche tenderanno a gestire i propri sistemi di analisi, invece di utilizzare Google, e non avrà pubblicità di terze parti su pagine all'interno dell'applicazione di internet banking. Questo indica un'opzione per avere un CSP valido: ospita il tuo codice di tracciamento e pubblicità su un dominio che controlli. Questo non è sempre fattibile per un'azienda più piccola.

Potresti anche cercare di spostare elementi sicuri del tuo sito in un sottodominio e applicare un CSP rigoroso a questo, con una politica più rilassata sulle parti aperte. Ciò significa che il contenuto statico o il contenuto di cui si è certi non può essere modificato o aggiunto dagli utenti, può essere offerto con annunci / tracciamento, mentre le sezioni autenticate o le sezioni in cui viene visualizzato il contenuto dell'utente potrebbero essere limitate ai domini conosciuti . Non è perfetto, ma è migliore di un CSP aperto che consente tutti i nomi degli host.

In aggiunta - non solo è non supportato , non lo vorrai anche se era supportato.

Poiché https://www.google.* corrisponderebbe quindi non solo a https://www.google.co.uk ma anche a https://www.google.evilattacker.com . E si può essere sicuri che sia esattamente l'URL che gli hacker utilizzerebbero, in quanto darebbe loro la migliore leva contro CSP sulla maggior parte dei siti.

Hai considerato l'utilizzo di uno strumento online, ad es. report-uri ?

[aggiornato]

I caratteri jolly dell'host non sono legali (vedi questa specifica ):

Each source expression's host name MAY contain up to one wildcard (*) and it MUST be the left-most DNS label.

Hai considerato di servire le tue pagine web con un'intestazione CSP diversa a seconda della geolocalizzazione degli utenti? Quindi le persone dal Regno Unito otterrebbero un CSP che consente * .google.co.uk e così via.