Attualmente sto cercando di implementare un widget di terze parti nel mio sito web. Quel widget tenta di caricare alcuni script su http, che al momento non è consentito dalla mia politica di sicurezza del contenuto.
Sono preoccupato che l'impostazione del CSP per consentire uno script caricato su http consentirebbe un attacco uomo in mezzo. Il widget offensivo si trova nella pagina di accesso, tra le altre cose, quindi uno script dannoso iniettato potrebbe facilmente rubare la password di qualcuno.
In pratica, quanto dovrei preoccuparmi di questo? Dovrei applicare https-only script-src nel mio CSP?