ソーシャル メディア ボタン (youtube、twitter、facebook) があるサイトに Content-Security-Policy (CSP) ヘッダーを使用しようとしています。ただし、これらのウィジェットは、不十分に指定されたサード パーティ サイトのリストでスクリプトを実行します。ソーシャル メディア サイトでは、スクリプトがアクセスするすべてのサイトが指定されているわけではないため、ページを実行して、ブロックされたドメインを 1 つずつ見て確認し、それらを CSP ヘッダーに追加する必要があります。
これは非常に壊れやすいようです。ソーシャル メディア サイトがスクリプトを変更して新しいドメインを追加すると、ブラウザーが新しいドメインへのアクセスをブロックするため、ページが壊れます。
CSP は XSS を止めるのに非常に効果的ですが、ソーシャル メディア サイトでは、それと連携するように設計されたボタン/ウィジェットが提供されていないようです。少なくとも、1 つのドメインのみを必要とし、そのドメインが何であるかを特定する必要があります。
次のようなCSPヘッダーになります。
Content-Security-Policy: default-src 'self' https://www.google.com http://csi.gstatic.com http://www.google-analytics.com https://apis.google.com https://accounts.google.com https://platform.twitter.com https://www.youtube . com http://platform.twitter.com ; img-src '自己' データ: https://www.google.com http://www.google-analytics.com http://ssl.gstatic.com https://ssl.gstatic.comデータ:; style-src 'self' https://fonts.googleapis.com 'unsafe-inline'; font-src 'self' https://fonts.gstatic.comデータ:
これを行うより良い方法はありますか?