Использование CSP (политика безопасности контента) с настраиваемым протоколом

Question

Я немного расстроен, развивая сайт брокерских фондов.

В рамках наших политик безопасности CSP реализован на наших серверах, но теперь мы реализуем связь с настольным программным обеспечением, поставляемым скандинавскими банками (BankID).

При этом возникает проблема: чтобы открыть программное обеспечение BankID рабочего стола, ссылка должна быть нажата с помощью пользовательского протокола, глядя, как это:

bankid://?orderref=[GUID]&autostarttoken=[GUID] 

Я уверен, что вы понимаете, я имея серьезные проблемы, позволяющие эту ссылку через наши политики CSP. Мои поиски не дали никаких результатов, и у меня кончились идеи.

Я попытался попытки разрешить домен с по протоколу, таким образом:

Content-Security-Policy: default-src 'self' bankid://*; 

Он отлично работает, если отключить ПСУ, так что это, безусловно, проблема.

У кого-нибудь есть опыт? Любая помощь приветствуется.

---

EDIT

После поиска еще несколько часов, я обнаружил следующее на Mozilla Wiki:

Нам нужен механизм доставки приложений, который обеспечивает гарантии на целостность приложений и подлинность, а также позволяет хорошо определенных приложений и привилегий, поэтому целостность может поддерживаться во время выполнения.

И далее:

Привилегированные и сертифицированные приложения будут доступны через уникальную схему (приложение: //). Домен будет соответствовать идентификатору приложения.

Я не уверен, что это применимо, но если я прочитаю это право, это значит, что Mozilla рассматривает, как решить эту проблему.

Answer 1

Кажется, что вы были очень близки к решению, вам нужно лишь немного изменить синтаксис. Удаляя косые черты, он должен работать нормально.

Content-Security-Policy: default-src 'self' bankid:; 

Чтобы подвести итог:

• кавычки (""): НЕТ
• слэш (//): НЕТ
• двоеточие (:): ДА