Ho pensato a come uno sviluppatore limitato (per qualsiasi motivo) a servire un sito non criptato potrebbe proteggersi da minacce come gli ISP eccessivi che iniettano pubblicità o notifiche nelle loro pagine, o kiddie di script in un bar che girano normalmente dallo sviluppatore codice innocuo in un sito di attacco ad hoc. Il mio primo pensiero è stato l'intestazione Content Security Policy, ma ora non sono sicuro.
Sono a conoscenza del fatto che il traffico http non crittografato, comprese le intestazioni, può essere modificato da un terzo malintenzionato che esegue un attacco man-in-the-middle.
Se questo è il caso, l'intestazione di Content Security Policy potrebbe essere vulnerabile a modifiche o eliminazioni. L'utente malintenzionato potrebbe quindi inserire e far eseguire il browser, qualunque cosa volessero.
Quindi fornisce allo sviluppatore un falso senso di sicurezza nel riuscire a includere un CSP su una pagina non criptata senza alcun tipo di avvertimento nella console del browser su MiTM, o sono le buone ragioni per includerlo abbastanza per superare questo?