CSP使用可以托管内容的域的白名单.

这可以与使用联盟营销的网站一起使用吗？通常在“订单已完成”页面上有一个iframe,它托管一个受联盟合作伙伴控制的脚本.

将联盟脚本的域列入白名单是可以的,但是我无法控制脚本的作用：我非常害羞它会加载其他不是whitelistet的内容.

是否有人对联盟脚本和CSP有好的或坏的经验？

最佳答案 遗憾的是,广告提供商并不总是受信任,因为广告空间的转售,您最终可能会显示广告网络的广告,而这些广告网络并未直接处理并可能在您的客户端上执行恶意软件.

关于CSP：如果你在规则中打了太多洞,它将变得毫无用处.
话虽这么说,你可以做几件事,一件事：sandbox the iframe

或者,您只能允许使用安全JavaScript子集的广告(此检查可以静态执行). “安全”意味着不会修改文档对象等 – 即使广告网络是恶意的,客户端也不会受到影响.

一个promiment示例是ADsafe,但还有其他选项.