ファンドブローカーサイトを開発していて、ちょっとピンチです。
セキュリティ ポリシーの一環として、CSPはサーバー全体に実装されていますが、現在、スカンジナビアの銀行 ( BankID ) が提供するデスクトップ ソフトウェアとの通信を実装しています。
これにより、問題が発生します。BankID デスクトップ ソフトウェアを開くには、次のようなカスタム プロトコルでリンクをクリックする必要があります。
bankid://?orderref=[GUID]&autostarttoken=[GUID]
ご理解いただけると思いますが、CSP ポリシーを通じてこのリンクを許可するのに深刻な問題が発生しています。検索しても結果が得られず、アイデアが尽きてしまいました。
このように、プロトコルでワイルドカード ドメインを許可しようとしました。
Content-Security-Policy: default-src 'self' bankid://*;
CSPをオフにすると完全に機能するので、間違いなく問題です。
誰でもこれを経験したことがありますか?どんな助けでも大歓迎です。
編集
さらに数時間検索した後、Mozilla Wikiで以下を見つけました。
アプリの整合性と信頼性を保証し、実行時に整合性を維持できるように、明確に定義されたアプリケーションと権限の範囲を適用できるアプリケーション配信メカニズムが必要です。
そしてさらに:
特権および認定されたアプリには、独自のスキーム (app://) を介してアクセスします。ドメインはアプリ ID に対応します。
これが当てはまるかどうかはわかりませんが、これを正しく読めば、Mozilla がまさにこの問題に取り組む方法を検討していることになります。