Из стандартной спецификации и примеров CSP видно, что он не поддерживает подстановочные знаки в части пути. заданного URL. Это кажется упущением, поскольку многие CDN и поставщики хостинга статических файлов совместно используют имена корневых доменов между своими пользователями и различают доступ только к путям URL, а не ко всему домену.
Например, при использовании S3 или Google Cloud Storage в качестве CDN вы можете захотеть, чтобы CSP разрешал загрузку скриптов/активов только из вашей корзины с подстановочным URL-адресом, например "https://storage.googleapis.com/my-apps-bucket/*", но запретить их для остальных https://storage.googleapis.com, поскольку для злоумышленника было бы довольно просто создать собственную учетную запись и предоставлять контент из этого корня. домен.
Это кажется довольно распространенным вариантом использования, я неправильно понимаю спецификацию? Если нет, каков синтаксис для использования путей с подстановочными знаками, поскольку использование заголовка, такого как Content-Security-Policy: script-src 'self' https://example.com/*
, похоже, не работает.