Ho un'app Cordova che trasforma alcune immagini in base64. Ciò viola il CSP con questo messaggio:
Refused to load the image 'data:image/svg+xml;charset=US-ASCII,%3C%3Fxml%20version%3D%221.0%22%20encod…E%3C%2Fg%...%3C%2Fsvg%3E' because it violates the following Content Security Policy directive: "default-src 'self'". Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback.
In base a questa risposta , posso semplicemente aggiungere data:
al mio meta Content-Security-Policy, ma mi piacerebbe molto sapere, se questo è sicuro? data:
non specifica l'origine e quindi temo che non sia sicuro.