如何安全地将脚本-src与已知的JSONP端点缓存(如syndication.twimg.com )结合起来？

Question

我正在使用内容安全策略( Content )处理一个带有嵌入式tweet的页面，并且我正在获取https:/​/​cdn.syndication.twimg.com的报告，这在我的策略中是不允许的。

这是一项相当长的政策，但相关的部分是

default-src 'none'; ... script-src 'self' apis.google.com platform.twitter.com; ...

但是，如果我将cdn.syndication.twimg.com或*.twimg.com添加到标题的script-src部分，则在通过Google CSP评价器运行报头时会收到警告。

众所周知，cdn.syndication.twimg.com是JSONP端点的宿主，它允许绕过这个CSP。

其他一些领域也引发了这一警告。

似乎我处于一个困难的境地:要么我不允许Twitter运行脚本(需要吗？)(我真的不知道)并得到违反政策的报告，或者我正在运行一个非常无用的CSP。

有办法解决这个难题吗？

Answer 1

我不知道是验证程序错误还是细微的改进，但是如果您将script-src更改为script-src-elem，验证器不会抱怨。