От чтения CSP Standard specification and examples кажется, что он не поддерживает подстановочные знаки в части пути для данного URL. Это похоже на надзор, так как многие CDN и статические хостинг-провайдеры совместно используют имена корневых доменов между своими пользователями и только дифференцируют доступ по URL-адресам, а не по всему домену.Поддерживает ли стандарт политики безопасности содержимого шаблоны подстановочных знаков? Если нет, то почему?
Например, при использовании S3 или Google Cloud Storage в качестве CDN вы можете захотеть, чтобы CSP позволял загружать сценарии/активы из вашего ведра с помощью подстановочного URL, такого как «https://storage.googleapis.com/my-apps-bucket/ *», но запретить их для остальных от https://storage.googleapis.com, так как для злоумышленника было бы довольно тривиально создавать свою собственную учетную запись и обслуживать контент из этого корневого домена.
Это похоже на довольно распространенный случай использования, я не понимаю, что такое spec? Если нет, то какой синтаксис использовать подстановочные пути, поскольку использование заголовка, такого как Content-Security-Policy: script-src 'self' https://example.com/*, похоже, не работает.