Intestazione CSP default-src: data:

0

Sto testando l'implementazione dell'intestazione CSP. Il valore di intestazione implementato è:

Content-Security-Policy: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'
X-Content-Security-Policy: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'
X-WebKit-CSP: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'

So che a causa della non-in-linea non è consigliabile la configurazione, ma non sottovaluto il significato di "data:" come URI. Se si tratta di un URI che dovrebbe significare che i dati sono uno schema (come https, ftp ecc.), Ma non capisco lo scopo di questo?

Inoltre, si raccomanda di utilizzare anche X-Content-Security-Policy e gli header X-WebKit-CSP, non sono deprecati?

    
posta user187205 07.05.2018 - 20:06
fonte

1 risposta

1

Che cosa fanno i dati

Consente gli URI di dati, come ad esempio:

data:text/html;charset=utf-8;base64,PGgzPkhpPC9oMz4=

da utilizzare come fonti.

Gli URI dei dati possono contenere qualsiasi contenuto, sono abbastanza usati, in quanto possono ridurre la quantità di URL richiesti quando il sito viene caricato.

Devo usarlo

Non se vuoi limitare il danno dell'iniezione e puoi evitarlo, dato che chiunque può iniettare nella pagina usa un URI di dati che contiene qualsiasi contenuto desideri.

Dovrebbero essere usate tutte e 3 le intestazioni

Non è necessario utilizzarli per Chrome e Firefox, ma come CanIUse mostra , ci sono browser che hanno ancora bisogno di intestazioni speciali.

    
risposta data 07.05.2018 - 20:15
fonte

Leggi altre domande sui tag