Sto testando l'implementazione dell'intestazione CSP. Il valore di intestazione implementato è:
Content-Security-Policy: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'
X-Content-Security-Policy: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'
X-WebKit-CSP: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'
So che a causa della non-in-linea non è consigliabile la configurazione, ma non sottovaluto il significato di "data:" come URI. Se si tratta di un URI che dovrebbe significare che i dati sono uno schema (come https, ftp ecc.), Ma non capisco lo scopo di questo?
Inoltre, si raccomanda di utilizzare anche X-Content-Security-Policy e gli header X-WebKit-CSP, non sono deprecati?