Безопасное использование CSP 'unsafe-inline' 'unsafe-eval'

Question

Я бэкэнд-разработчик, помогающий с развертыванием веб-сервера для команды внешнего интерфейса, пока я исследовал уязвимости, я наткнулся на политику безопасности контента, если я настроил заголовок CSP, это «Content-Security-Policy: default-sr c 'self' data: {own_domain_1} {own_domain_2} ", веб-сайт не работает, команда внешнего интерфейса сообщает мне, что добавление 'unsafe-inline' и 'unsafe-eval' не представляет угрозы, поскольку домены, где данные загружаются из наших собственных, но я не встречал какой-либо документации, подтверждающей это утверждение, правда ли?, а если нет, можете ли вы указать мне на документацию, чтобы я мог передать ее своему начальству. Заранее спасибо.

Answer 1

Определенно лучше, если вы можете избежать unsafe-inline и unsafe-eval.

Обычная причина для просмотра / необходимости unsafe-inline - наличие встроенных стилей или тегов стилей на странице. Переместите все это в свои файлы css и используйте только классы.

И если только не существует ЧРЕЗВЫЧАЙНО СИЛЬНЫЙ СЛУЧАЙ ДЛЯ ЭТОГО , вы не должны разрешать небезопасный eval. И даже если вы найдете этот чрезвычайно веский аргумент, вы должны спросить себя, действительно ли эта функция необходима.

Обе они открывают серьезные уязвимости не только от сторонних пользователей, но и от ваших собственных сотрудников - не просто доверяйте им, потому что они вам так говорят. Внедрение сценария - серьезная проблема безопасности.