¿CSP permite todos los dominios de Google?

Espero que Google también lea esto, deberían cambiar los anuncios de Google y Google Analytics sirviendo estas imágenes desde ar.images.google.com y be.images.google.com, luego podemos configurar nuestro CSP usando image-src: 'self' *.images.google.com . Esto se debe a que al utilizar el estándar CSP actual, no podemos usar un comodín para el dominio de nivel superior en el encabezado de Política de seguridad de contenido, solo en el nombre de host. Y para Google Analytics parece un cambio sin mucho impacto.

Por cierto: Sentry.com ofrece una URL de informes CSP.

El problema aquí no es con su CSP, sino más bien con la forma en que los objetivos de CSP y Google Analytics y sistemas de seguimiento similares están en desacuerdo entre sí.

El encabezado Content-Security-Policy se diseñó bajo el supuesto de que los propietarios del sitio conocen y controlan todo el contenido que se ejecuta en sus páginas, y que, por lo tanto, es posible excluir todo lo demás. Este no es realmente el caso con el seguimiento y el código de anuncio en las páginas, donde un tercero también ejecuta su código.

Para aplicaciones de "alta seguridad", como sitios web de banca por Internet, procesadores de pago y similares, a menudo es posible minimizar la cantidad de sistemas de terceros utilizados: los bancos tenderán a ejecutar sus propios sistemas de análisis, en lugar de usar los de Google. y no tendrá anuncios de terceros en páginas dentro de la aplicación de banca por Internet. Eso apunta a una opción para tener un CSP válido: alojar tu propio código de seguimiento y publicidad en un dominio que controlas. Esto no siempre es viable para una empresa más pequeña.

También puede buscar mover elementos seguros de su sitio a un subdominio y aplicar un CSP estricto a eso, con una política más relajada en las partes abiertas. Esto significaría que el contenido estático, o el contenido que usted confía, no puede ser modificado o agregado por los usuarios, se puede servir con anuncios / seguimiento, mientras que las secciones autenticadas, o las secciones donde se muestra el contenido del usuario, pueden restringirse a dominios conocidos . No es perfecto, pero es mejor que un CSP abierto que permita todos los nombres de host.

Como complemento, no solo no es compatible con , incluso si no fue apoyado.

Porque https://www.google.* entonces no solo coincidiría con https://www.google.co.uk sino también con https://www.google.evilattacker.com . Y puede estar seguro de que es exactamente la URL que usarían los atacantes, ya que les daría el mejor apalancamiento contra CSP en la mayoría de los sitios.

¿Ha considerado usar una herramienta en línea, por ejemplo, report-uri ?

[actualizado]

Los comodines del host no son legales (consulte esta especificación ):

  

El nombre de host de cada expresión de origen PUEDE contener hasta un comodín (*) y DEBE ser la etiqueta DNS más a la izquierda.

¿Ha considerado servir sus páginas web con un encabezado CSP diferente dependiendo de la geolocalización de los usuarios? Así que la gente del Reino Unido obtendría un CSP que permite * .google.co.uk, y así sucesivamente.