CSPのconnect-srcは、セキュリティとしてはほとんど意味がない
多分セキュリティを勉強してれば容易にわかることなんだと思いますが、やっぱり実際に手を動かして組んでみると、自前でサーバーを用意さえすれば、バイナリ情報などに自由に情報を埋め込んで通信を実行できるということがよくわかります。
node-bitmap-proxy
つまりCSPのConnect-src制約 = 全CSP制約のうち最も制約の緩いものという等式が成り立つわけですね。
さらに、サーバーを自由に設立できるようなドメインをそのうちのどこかで許可してしまっていると、当然ながらワイルドカードに近い通信が実現できてしまう。
サーバー資源へのアクセスがかなり民主化された現状では、connect-srcの制約ってどのくらい意義があるのか、ちょっと疑問ですね(熟練したエンジニアに対する制約には全くならなさそう)
https://twitter.com/shokai/status/1021345399297040384?s=20&t=PxobsM3rqPscRH9MvWCKxA
https://twitter.com/shokai/status/982865680151101440?s=20&t=PxobsM3rqPscRH9MvWCKxA