Recentemente, ho impostato le intestazioni di Content-Security-Policy per la mia applicazione web. Ho cercato di essere il più severo possibile. Ciò che mi colpisce di più è il fatto che ho dovuto consentire blob: per connect-src e img-src a causa di un componente di terze parti. (Sia connect-src che img-src sono altrimenti limitati a self e alcuni URL hard-coded.)
Quindi, la mia domanda è: consentire a blob: un rischio generale per la sicurezza nel senso che un utente malintenzionato può inserire in uno script immesso qualsiasi URL con blob e quindi connettersi a qualsiasi risorsa arbitraria?