Sto rivedendo le intestazioni di Content-Security-Policy impostate in uno dei nostri server Web e vedo che questo è come viene impostato (dove 'example.com' è il nostro sito Web attendibile).
Content-Security-Policy: "default-src 'self'; script-src 'self' data: 'unsafe-inline' 'unsafe-eval'; img-src 'self' *.example.com; font-src *; connect-src 'self' *example.com"
Le mie domande sono:
1) Non supplirà il tipo unsafe-inline
e unsafe-eval
di sconfiggere l'intero CSP?
2) Se l'opzione "non sicuro" è consentita o autorizzata come sopra, qualcuno può chiamare un JavaScript da un sito Web esterno, ad esempio www.xxxxxx.com che non è autorizzato nella direttiva script-src
e lì sconfiggere l'intero scopo del CSP? Es: <script src="www.xxxxxx.com/bad.js">
Ho esaminato questa domanda qui e passando per le risposte, sembra che il CSP sopra sia non buono.