所以我在S3上有一个视频,我希望向用户显示。
我已将我的CSP设置为:
media-src https://s3-ap-southeast-1.amazonaws.com
我的问题是,因为CSP在域级别工作而S3存储桶处于文件夹级别,所以我不确定恶意加载的JavaScript文件是否也来自https://s3-ap-southeast-1.amazonaws.com,而是来自不同的存储桶这个CSP也会允许吗?
编辑:如果这不安全,是否有办法实现只允许来自S3的媒体而不必将所有其他资源来源列入白名单?
答案 0 :(得分:1)
而不是:
https://s3-ap-southeast-1.amazonaws.com/bucket-name/
你可以使用:
https://bucket-name.s3-ap-southeast-1.amazonaws.com/
这样只有你的水桶可以接受。
答案 1 :(得分:0)
“因为CSP在域级别工作......” - 您的前提是不正确的。您可以将CSP源设置为域中的目录,而不仅仅是域 - 例如https://www.example.com/mydir/
此外,media-src不允许使用JavaScript。那是script-src。是的,您应该设置default-src。 (通常是'自我'或'无')