Recentemente, ho impostato le intestazioni di Content-Security-Policy per la mia applicazione web. Ho cercato di essere il più severo possibile. Ciò che mi colpisce di più è il fatto che ho dovuto consentire blob:
per connect-src
e img-src
a causa di un componente di terze parti. (Sia connect-src
che img-src
sono altrimenti limitati a self
e alcuni URL hard-coded.)
Quindi, la mia domanda è: consentire a blob:
un rischio generale per la sicurezza nel senso che un utente malintenzionato può inserire in uno script immesso qualsiasi URL con blob
e quindi connettersi a qualsiasi risorsa arbitraria?