È possibile specificare una politica di sicurezza del contenuto nei browser?

3

Normalmente, le politiche di sicurezza del contenuto vengono inviate nelle intestazioni di risposta dal server al browser client indicando ciò che è e non è accettabile caricare sul sito. C'è un modo per farlo al contrario, in modo da scrivere una politica di sicurezza del contenuto per il tuo browser, per ogni sito, e quindi carica solo le risorse che sono permesse da te su quel particolare sito? Questo sarebbe possibile se tu scrivessi il tuo browser, ma mi chiedo se qualcuno dei principali browser attuali abbia ancora questa capacità incorporata, senza dover creare o installare un plugin.

    
posta kloddant 14.11.2017 - 18:52
fonte

1 risposta

3

Nessun browser che conosca ha questo built-in.

Sarebbe sicuramente possibile costruire un tale plugin ma non sarebbe davvero utilizzabile. Perché? L'impostazione di un CSP solo per un sito può essere un problema nell'a ** anche quando viene eseguita dalle persone che lo gestiscono. Anche se conosci bene il tuo sito, non è banale sapere esattamente da quali domini vengono caricati gli oggetti. Fai un errore e, boom, rompi qualcosa in un angolo lontano che potresti anche non notare.

Ora immagina di doverlo fare per tutti i siti senza nemmeno sapere come sono costruiti. Interrompe l'overflow dello stack se disattivo JavaScript in linea? Non ne ho assolutamente idea. E ancora più importante, ci vorrebbe un'eternità per capire. Ora moltiplicalo per migliaia per coprire tutti i siti che visiti.

Sono sicuro che ci sono modi creativi per semplificare l'esperienza dell'utente, ma alla fine questo sarebbe solo un incubo di usabilità.

    
risposta data 14.11.2017 - 20:32
fonte

Leggi altre domande sui tag