Considera se qualcosa di simile è stato tentato da un utente malintenzionato che ha iniettato XSS:
<script src="https://maps.googleapis.com/foo?callback=alert"></script>
Ciòeseguiràlafunzionefoo
dall'SDKJavaScriptdell'APIdiGoogleealsuoritornochiamerebbealert
.Ciòdimostracheunutentemalintenzionatosarebbeingradodiinserirecodiceinlinenellapagina,cheverrebbeeseguito.PertantovieneraggiuntoXSScheignorailbloccodelcodiceunsafe-inline
.
Ovviamente,ciòchepuòesserechiamatodipenderàdagliargomentipassatiedacomeesattamenteGoogledisinfettailparametrodicallback.SembracheCSPValidatorabbiasolounasempliceregolapercontrassegnarlinellaforma"il dominio nel CSP supporta JSONP?" che non tiene conto di come viene eseguita la richiamata.
Questo sembra giusto, in quanto CSP Validator non saprà mai se eventuali alterazioni del codice nel dominio esterno introdurranno o patcheranno tali vulnerabilità, quindi penso che sia corretto che questo sia contrassegnato.