Content-Security-Policy e accesso a Facebook

5

Questa domanda sembra essere correlata al link , ma non sto sviluppando un'estensione di Chrome. Sto sviluppando una normale applicazione web.

Sto cercando di integrare l'accesso a Facebook sul mio sito web, che ha una politica CSP stretta. Sto seguendo le raccomandazioni del link , dove si dice che "non sicuro" non dovrebbe essere usato. Tuttavia, se inserisco il seguente criterio CSP:

    <add name="Content-Security-Policy" value="default-src 'self'; connect-src 'self'; script-src 'self' https://connect.facebook.net; img-src 'self' https://www.facebook.com; media-src 'self'; object-src 'self'; style-src 'self'  'unsafe-inline'; frame-src 'self' https://s-static.ak.facebook.com https://www.facebook.com https://www.youtube.com; "/>

quindi l'accesso a Facebook non viene visualizzato, in quanto il criterio CSP limita il codice eval non sicuro. Se lo cambio al seguente:

    <add name="Content-Security-Policy" value="default-src 'self'; connect-src 'self'; script-src 'self' 'unsafe-eval' https://connect.facebook.net; img-src 'self' https://www.facebook.com; media-src 'self'; object-src 'self'; style-src 'self'  'unsafe-inline'; frame-src 'self' https://s-static.ak.facebook.com https://www.facebook.com https://www.youtube.com; "/>

allora funziona. Nota l'extra 'non sicura' nella parte script-src del CSP. Ad ogni modo, non voglio usare la condizione di "non sicurezza", in quanto ciò ridurrebbe notevolmente la sicurezza del mio sito web.

C'è un modo in cui posso usare l'accesso di Facebook (SDK), senza dover usare 'unsafe-eval' nel mio criterio CSP?

    
posta Michael 18.04.2014 - 12:39
fonte

1 risposta

1

No, non è possibile utilizzare l'SDK di Facebook senza "non sicuro" se l'SDK di Facebook lo richiede, purtroppo. Questo è uno dei problemi con CSP. Fino a quando Facebook non rimuoverà il requisito, devi permetterlo.

Hai detto che la tua app potrebbe essere un'app a singola pagina, ma in caso contrario, potresti rilasciare l'espressione "non sicura" su quella particolare pagina solo per migliorare la situazione, anziché a livello di sito.

    
risposta data 03.08.2016 - 17:21
fonte

Leggi altre domande sui tag