没有default-src的Content-Security-Policy是否允许恶意资产?

时间:2017-02-21 01:05:26

标签: content-security-policy

所以我在S3上有一个视频,我希望向用户显示。

我已将我的CSP设置为:

  

media-src https://s3-ap-southeast-1.amazonaws.com

我的问题是,因为CSP在域级别工作而S3存储桶处于文件夹级别,所以我不确定恶意加载的JavaScript文件是否也来自https://s3-ap-southeast-1.amazonaws.com,而是来自不同的存储桶这个CSP也会允许吗?

编辑:如果这不安全,是否有办法实现只允许来自S3的媒体而不必将所有其他资源来源列入白名单?

2 个答案:

答案 0 :(得分:1)

而不是:
https://s3-ap-southeast-1.amazonaws.com/bucket-name/
你可以使用:
https://bucket-name.s3-ap-southeast-1.amazonaws.com/

这样只有你的水桶可以接受。

答案 1 :(得分:0)

“因为CSP在域级别工作......” - 您的前提是不正确的。您可以将CSP源设置为域中的目录,而不仅仅是域 - 例如https://www.example.com/mydir/

此外,media-src不允许使用JavaScript。那是script-src。是的,您应该设置default-src。 (通常是'自我'或'无')