5

これに対する簡単な答えがあることを願っています。

「fancybox」ツールを使用して、Vimeo のビデオをページに埋め込んでいます。Fancybox は基本的に iFrame を作成し、Vimeo プレーヤーを埋め込みます。Content Security Policy をオンにするまでは、すべてのブラウザーで問題なく動作します。その後、ID は機能しますが (CSP を実装していないため)、Chrome と Firefox は「読み込み中」の画像が表示されたままハングします。

私はこのCSPを試しました:

<add header="Content-Security-Policy" value="default-src 'self'; media-src 'self' http://player.vimeo.com; frame-src 'self' http://player.vimeo.com; " />
<add header="X-Content-Security-Policy" value="default-src 'self'; media-src 'self' http://player.vimeo.com; frame-src 'self' http://player.vimeo.com; " />
<add header="X-WebKit-CSP" value="default-src 'self'; media-src 'self' http://player.vimeo.com; frame-src 'self' http://player.vimeo.com; " />

もちろん、メディアと iframe の両方が vimeo から来ることを許可していると考えています。しかし、うまくいきません。誰かが理由を知っていますか?

更新: ビデオを表示しているページだけの CSP を削除し、Google の開発者ツールでコンテンツを調べました。Vimeo は、他の Vimeo サブドメイン、vimeocdn.com、conviva.com、lphbs.com、さらには Amazon の aws からも大量のコンテンツを取り込みます。では、Vimeo (および YouTube ?) を使用している場合、非常に長い外部サイトのリストを持っているか、CSP を使用していないだけですか? どんな洞察もいただければ幸いです!

4

1 に答える 1

2

はい、最良のオプションはホストの長いリストを追加することですが、CSP は削除しないでください!

ポリシーに基づいて、CSP を削除すると、次のようになります。

  • インラインスクリプトと eval への危険な呼び出しを許可しています-本質的に、反映/保存されたXSSの別の機会を開きます
  • フレームはどこからでも注入できます
  • 画像、スタイル、アプレットなどをどこからでもロードできます。

多くの場合、インライン スクリプト/評価を許可する必要がありますが、コンテンツ セキュリティ ポリシーは依然として非常に有効です。

ホワイトリストに登録する必要がある可能性のある場所のリストを収集するために、report-uri と組み合わせてヘッダーのレポートのみの形式を使用することもできます。

于 2012-12-12T23:28:29.167 に答える