CDK 域名参考
本文档提供了 k-ID 合规开发工具包(CDK)使用的所有域名的完整列表。如果您在安全策略中采用允许列表(Allowlist),请将这些域名包含在内容安全策略(CSP)中以确保正常功能。
域名类别
CDK 根据不同的验证方法使用各种第三方服务。以下是按用途分类的域名:
| 类别 | 域名 | 用途 |
|---|---|---|
| 面部年龄估计 | *.privately.swiss | 隐私保护的面部分析服务 |
*.faceassure.com | 面部验证与年龄估计 | |
cdn.jsdelivr.net | JavaScript 库与依赖 | |
fonts.cdnfonts.com | 自定义字体资源 | |
| 身份证件验证 | *.dcams.app | 文档采集与验证服务 |
dcamsclientlogos.s3.us-east-2.amazonaws.com | 客户品牌素材 | |
| 信用卡验证 | *.stripe.com | 支付处理与卡片验证 |
| 通用验证页面 | fonts.googleapis.com | Google 字体 |
*.gstatic.com | Google 静态内容分发 | |
*.k-id.com | k-ID 核心服务与小部件 |
CSP 配置
frame-src 指令
将以下 CSP 的 frame-src 指令复制粘贴到您的配置中,以允许在应用中嵌入 CDK 小部件:
Content-Security-Policy: frame-src 'self' *.privately.swiss *.faceassure.com cdn.jsdelivr.net fonts.cdnfonts.com *.dcams.app dcamsclientlogos.s3.us-east-2.amazonaws.com *.stripe.com fonts.googleapis.com *.gstatic.com *.k-id.com;
实施说明
通配符域名
一些域名使用通配符(*)以适配子域名。请确保您的 CSP 实现正确支持通配符匹配。
环境注意事项
- 测试环境:所列域名在测试与生产环境均为必需
- 区域差异:部分服务可能使用区域特定的子域名
故障排查
如果您在使用 CDK 小部件时遇到问题:
- 在浏览器开发者工具中检查是否存在 CSP 违规
- 确认所有通配符域名已正确配置
- 验证您的 CSP 语法是否正确
- 在不同浏览器中测试以确保兼容性
安全注意事项
注意
通过 CSP 进行域名允许列表仅是集成第三方小部件与服务时保护应用的一种方法。现代 Web 安全涉及多层次与多种策略。我们建议查看最新的安全最佳实践,并根据您的具体用例与威胁模型确定最合适的安全模型。
在使用域名允许列表方式启用 CDK 功能时,请务必:
- 定期审查并更新您的 CSP 配置
- 监控任何未授权的域名请求
- 在保持功能的前提下尽可能严格地设置 CSP
- 在任何 CSP 变更后进行充分测试
其他资源
有关实现 k-ID 小部件和 CSP 配置的更多信息: