Можно ли как-то настроить политику безопасности контента, чтобы разрешить любые сторонние сценарии, но запретить встроенные/оценочные?

Question

Можно ли как-то настроить политику безопасности контента, чтобы разрешить любые сторонние сценарии, но запретить встроенные/оценочные?

Можно ли каким-либо образом настроить политику безопасности контента, чтобы разрешить любые сторонние сценарии, но запретить встроенные/оценочные?

У меня есть сторонние скрипты маркетинга/аналитики, которые нужно регулярно добавлять и удалять. Я хотел бы защитить страницу от встроенного и eval стиля xss с помощью пользовательского ввода. Как будет выглядеть мой CSP для этого варианта использования? Спасибо.

0

content-security-policy script-src

Источник

user663447 13 фев '22 в 14:52

1 ответ

Другие вопросы по тегам content-security-policy script-src

user9239311 14 фев '22 в 13:09 2022-02-14 13:09 · Answer 1 · 2022-02-14 13:09

Как вы, наверное, знаете, вы не собираетесь устанавливать «unsafe-inline» или «unsafe-eval» в директиве script-src. Чтобы разрешить все остальное, вы можете принять любой хост с * или принять все в определенных схемах, таких как https: data: и blob:, см. https://www.w3.org/TR/CSP3/#framework-directive-source-list

Для других директив CSP вам придется решать на основе вашего варианта использования и требований стороннего кода.