我有点紧张,正在开发一个基金经纪人网站。
作为我们安全政策的一部分,CSP已在我们的服务器上实施,但现在,我们正在实施与斯堪的纳维亚银行(BankID)提供的桌面软件的通信。
有了这个,出现了一个问题:要打开BankID桌面软件,应该使用自定义协议点击链接,如下所示:
bankid://?orderref=[GUID]&autostarttoken=[GUID]
我确信您理解,我在通过CSP政策允许此链接时遇到严重问题。我的搜索没有产生任何结果,我已经没有想法了。
我试图在协议下尝试允许通配符域:
Content-Security-Policy: default-src 'self' bankid://*;
如果我关闭CSP,它的效果非常好,所以它肯定是个问题。
任何人都有这方面的经验吗?非常感谢任何帮助。
编辑经过几个小时的搜索,我在Mozilla Wiki上找到了以下内容:
我们需要一种应用程序交付机制,可以保证应用程序的完整性和真实性,并且还可以提供定义明确的应用程序。特权范围实施,因此可以在运行时维护完整性。
进一步说:
将通过一个独特的方案(app://)访问特权和认证的应用程序。该域将对应于应用程序ID。
我不确定这是否适用,但如果我认为这是正确的,那就意味着Mozilla正在考虑如何解决这个问题。
答案 0 :(得分:6)
您似乎非常接近解决方案,您只需要稍微改变语法。通过删除斜杠它应该工作得很好。
Content-Security-Policy: default-src 'self' bankid:;
总结: