Vorrei sapere quanto è buona l'intestazione del criterio di sicurezza del contenuto per evitare che XSS consideri quanto segue:
- Molti siti hanno JS / CSS in linea.
- Le intestazioni richiesta / risposta possono essere modificate in Transito.
Vorrei sapere quanto è buona l'intestazione del criterio di sicurezza del contenuto per evitare che XSS consideri quanto segue:
Devi liberarti del JS in linea per poter impostare un criterio utile. (Puoi includere unsafe-inline nella politica, ma a quel punto stai disabilitando il punto principale del suo utilizzo.) La distribuzione di CSP in qualsiasi modo utile significa che probabilmente dovrai aggiornare la tua app per rimuovere qualsiasi script inline e stile, ma questa è una misura di "best practice" con altri vantaggi oltre al semplice CSP.
Sì, se hai un attacco man-in-the-middle, hai già perso peggio. Se questo è sul tuo modello di minaccia dovresti indirizzarlo con SSL.
CSP non deve essere utilizzato come difesa primaria contro XSS - devi ancora eseguire l'escape dell'HTML e tutte le altre misure per rendere la tua app sicura e corretta. Ma è una buona misura di difesa per rendere meno probabile lo sfruttamento di un lasso di tempo accidentale.
Leggi altre domande sui tag web-application xss