CSP は、コンテンツをホストできるドメインのホワイトリストを使用します。
これは、アフィリエイト マーケティングを使用するサイトで機能しますか? 通常、「注文完了」ページには、アフィリエイト パートナーが制御するスクリプトをホストする iframe があります。
アフィリエイト スクリプトのドメインをホワイトリストに登録することは問題ありませんが、私はスクリプトが何を行うかを制御できません。ホワイトリストに登録されていない他のコンテンツをロードすると確信しています。
アフィリエイト スクリプトと CSP について、良い経験と悪い経験を持っている人はいますか?
残念ながら、広告プロバイダーは常に信頼できるとは限りません。広告スペースの転売により、直接扱っていない広告ネットワークの広告が表示され、クライアントでマルウェアを実行する可能性があります。
CSP について: ルールに穴を開けすぎると、役に立たなくなります。そうは言っても、できることはいくつかあります。たとえば、iframe をサンドボックス化します。
または、JavaScript の安全なサブセットを使用する広告のみを許可することもできます (このチェックは静的に実行できます)。「安全」とは、documentオブジェクトが変更されないことなどを意味します。広告ネットワークが悪意のあるものであっても、クライアントは影響を受けません。
プロミメントの例はADsafeですが、他にもオプションがあります。