Alcuni dei miei colleghi stanno sviluppando un lettore video che utilizza Javascript. AFAIK, non avremo nessun sito web. I client si connetteranno al server, scaricheranno il codice javascript e quindi renderanno il giocatore nel loro sito.
In questo contesto, ha senso utilizzare CSP nel nostro codice? È persino possibile? Tutti gli esempi che vedo sono incentrati su come utilizzare CSP per proteggere un sito Web contro XSS.
CSP si applica alla pagina contenente il codice, non il codice. Nel tuo caso, ciò significa che le pagine del client potrebbero o meno avere politiche di sicurezza del contenuto che consentono (o non consentono) di eseguire lo script in base al fatto che si tratta di uno script di terze parti.
Il tuo copione non può influenzare quelli - è un po 'il punto. CSP è progettato per garantire che vengano eseguiti solo gli script noti o che gli elementi noti possano essere caricati dalla pagina.
Nel caso di uno script per video player, il sito di hosting (quello che carica il tuo codice) dovrebbe consentire lo script e se i tipi di file appropriati devono essere caricati dai tuoi server se implementano CSP. Potrebbe essere necessario consultare CORS per abilitare l'accesso ai contenuti del tuo dominio tramite il tuo script, che è in esecuzione nel contesto del sito del cliente, anche se questo dipende da cosa stai facendo con esso - se stai solo includendo un video file utilizzando un tag <video> , probabilmente non è necessario.
Leggi altre domande sui tag javascript xss content-security-policy