Permette il blob: in Content-Security-Policy un rischio?

1

Recentemente, ho impostato le intestazioni di Content-Security-Policy per la mia applicazione web. Ho cercato di essere il più severo possibile. Ciò che mi colpisce di più è il fatto che ho dovuto consentire blob: per connect-src e img-src a causa di un componente di terze parti. (Sia connect-src che img-src sono altrimenti limitati a self e alcuni URL hard-coded.)

Quindi, la mia domanda è: consentire a blob: un rischio generale per la sicurezza nel senso che un utente malintenzionato può inserire in uno script immesso qualsiasi URL con blob e quindi connettersi a qualsiasi risorsa arbitraria?

    
posta cis 25.07.2018 - 07:58
fonte

0 risposte

Leggi altre domande sui tag