¿CSP permite todos los dominios de Google?

9

Estoy intentando desarrollar un CSP para el sitio enlace .

En este momento hay una política que se ejecuta en modo de solo informe, por lo que no hay nada bloqueado en este momento.

El sitio se pone en contacto con googleads.g.doubleclick.net y stats.g.doubleclick.net. Así que he puesto estos hosts en la lista blanca.

Pero parece que estos sitios luego (hacen que el usuario) cargue contenido de www.google.com y www.google.YOURTLD. Puedo ver las infracciones de CSP notificadas donde el navegador quería ponerse en contacto con enlace , enlace , enlace , enlace y así sucesivamente.

Ahora no quiero poner todos los dominios de Google en el CSP.

Pensé en permitir enlace . * (No sé si esto es válido incluso en un CSP), pero esta expresión no coincide. URL como enlace .

Entonces, ¿cómo puedo crear un CSP válido en este caso?

    
pregunta HorstKevin 15.12.2016 - 12:13
fuente

4 respuestas

3

Espero que Google también lea esto, deberían cambiar los anuncios de Google y Google Analytics sirviendo estas imágenes desde ar.images.google.com y be.images.google.com, luego podemos configurar nuestro CSP usando image-src: 'self' *.images.google.com . Esto se debe a que al utilizar el estándar CSP actual, no podemos usar un comodín para el dominio de nivel superior en el encabezado de Política de seguridad de contenido, solo en el nombre de host. Y para Google Analytics parece un cambio sin mucho impacto.

Por cierto: Sentry.com ofrece una URL de informes CSP.

    
respondido por el bbaassssiiee 02.02.2017 - 07:08
fuente
2

El problema aquí no es con su CSP, sino más bien con la forma en que los objetivos de CSP y Google Analytics y sistemas de seguimiento similares están en desacuerdo entre sí.

El encabezado Content-Security-Policy se diseñó bajo el supuesto de que los propietarios del sitio conocen y controlan todo el contenido que se ejecuta en sus páginas, y que, por lo tanto, es posible excluir todo lo demás. Este no es realmente el caso con el seguimiento y el código de anuncio en las páginas, donde un tercero también ejecuta su código.

Para aplicaciones de "alta seguridad", como sitios web de banca por Internet, procesadores de pago y similares, a menudo es posible minimizar la cantidad de sistemas de terceros utilizados: los bancos tenderán a ejecutar sus propios sistemas de análisis, en lugar de usar los de Google. y no tendrá anuncios de terceros en páginas dentro de la aplicación de banca por Internet. Eso apunta a una opción para tener un CSP válido: alojar tu propio código de seguimiento y publicidad en un dominio que controlas. Esto no siempre es viable para una empresa más pequeña.

También puede buscar mover elementos seguros de su sitio a un subdominio y aplicar un CSP estricto a eso, con una política más relajada en las partes abiertas. Esto significaría que el contenido estático, o el contenido que usted confía, no puede ser modificado o agregado por los usuarios, se puede servir con anuncios / seguimiento, mientras que las secciones autenticadas, o las secciones donde se muestra el contenido del usuario, pueden restringirse a dominios conocidos . No es perfecto, pero es mejor que un CSP abierto que permita todos los nombres de host.

    
respondido por el Matthew 27.01.2017 - 18:26
fuente
2

Como complemento, no solo no es compatible con , incluso si no fue apoyado.

Porque https://www.google.* entonces no solo coincidiría con https://www.google.co.uk sino también con https://www.google.evilattacker.com . Y puede estar seguro de que es exactamente la URL que usarían los atacantes, ya que les daría el mejor apalancamiento contra CSP en la mayoría de los sitios.

    
respondido por el Matija Nalis 24.05.2018 - 01:08
fuente
0

¿Ha considerado usar una herramienta en línea, por ejemplo, report-uri ?

[actualizado]

Los comodines del host no son legales (consulte esta especificación ):

  

El nombre de host de cada expresión de origen PUEDE contener hasta un comodín (*) y DEBE ser la etiqueta DNS más a la izquierda.

¿Ha considerado servir sus páginas web con un encabezado CSP diferente dependiendo de la geolocalización de los usuarios? Así que la gente del Reino Unido obtendría un CSP que permite * .google.co.uk, y así sucesivamente.

    
respondido por el lorenzog 27.01.2017 - 13:49
fuente

Lea otras preguntas en las etiquetas