Наш сайт использует политику безопасности контента с реализацией Braintree 3D Secure.
Songbird выполняет несколько вызовов. js ( CardinalCommerce реализация 3D Secure, используемая Braintree) сторонним сайтам (например, kg668dbov0.execute-api.us-east- 1. amazon aws .com, touchtechpayments.com или arcot.com), которые не задокументированы в требованиях CSP, изложенных здесь Braintree https://braintree.github.io/braintree-web/current/.
Эти обращения к третьему партийные сайты, похоже, нигде в сети не задокументированы и, кажется, меняются случайным образом. Каждый раз, когда происходит недокументированное изменение, оно нарушает нашу интеграцию с 3DS (iFrame не загружается, так как недокументированный URL-адрес заблокирован CSP).
URL-адреса, похоже, зависят от используемой карты (кажется, touchtechpayments.com чтобы быть Revolut, arcot.com кажется HSB C), и я вижу пару других для французских банков в нашем отчете о нарушении CSP: https://bred.wlp-acs.com для Bred, https://bnpp-3ds.wlp-acs.com для BNP Paribas).
Кто-нибудь знает, где я могу найти обновленный список требований политики безопасности контента для songbird. js?