无论如何配置内容安全策略以允许任何第三方脚本但不允许内联/评估?
我有一些必须定期添加和删除的第三方营销/分析脚本。我想通过用户输入来保护页面与内联和评估样式 xss。对于这个用例,我的 CSP 会是什么样子?谢谢。
问问题
8 次
1 回答
0
您可能知道您不会在 script-src 指令中设置“unsafe-inline”或“unsafe-eval”。要允许其他所有内容,您可以接受任何带有 * 的主机或接受某些方案上的所有内容,例如 https:data: 和 blob:,请参阅https://www.w3.org/TR/CSP3/#framework-directive-source-list
对于其他 CSP 指令,您必须根据您的用例和第三方代码的要求来决定。
于 2022-02-14T13:09:13.037 回答