Algunos de mis compañeros de trabajo están desarrollando un reproductor de video usando Javascript. AFAIK, no vamos a tener ningún sitio web. Los clientes se conectarán al servidor, descargarán el código javascript y luego reproducirán el reproductor en su sitio.
En este contexto, ¿tiene sentido usar CSP en nuestro código? ¿Es incluso posible? Todos los ejemplos que veo están enfocados en cómo usar CSP para proteger un sitio web contra XSS.
CSP se aplica a la página que contiene el código, no al código. En su caso, esto significa que las páginas del cliente pueden o no tener políticas de seguridad de contenido que permiten (o no permiten) que su script se ejecute, ya que es un script de terceros.
Tu guión no puede influir en eso, ese es el punto. CSP está diseñado para garantizar que solo se ejecuten los scripts conocidos, o que la página pueda cargar elementos conocidos.
En el caso de una secuencia de comandos de un reproductor de video, el sitio de alojamiento (el que carga su código) deberá permitir su secuencia de comandos, y para que se carguen los tipos apropiados de archivos de sus servidores si implementan el CSP. Es posible que deba buscar en CORS para permitir el acceso al contenido de su dominio mediante su secuencia de comandos, que se ejecuta en el contexto del sitio del cliente, aunque esto depende de lo que esté haciendo con él, si solo está incluyendo un video. archivo que utiliza una etiqueta <video> , probablemente no sea necesario.
Lea otras preguntas en las etiquetas xss javascript content-security-policy