Есть ли какая-либо причина использовать менее защищенную политику безопасности контента (CSP)?

Question

Я узнаю о политике содержания-безопасности.

допустим, что мой сайт abc.com имеет csp:

default-src 'self' 'unsafe-inline' 'unsafe-eval' xyz.com

означает ли это, что он будет использовать источник csp из xyz.com?

что еслия поменяю его на просто:

default-src 'self'

, если первый более безопасный, есть ли причина когда-либо использовать более простой?Другими словами, не всегда ли лучше иметь более безопасный csp?

Спасибо

Answer 1

default-src 'self' 'unsafe-inline' 'unsafe-eval' xyz.com

Означает ли это, что он будет использовать источник csp с xyz.com?

'self'

Относится к источнику, из которого подается защищенный документ, включая ту же схему URL и номер порта.

'unsafe-inline'

Позволяет использовать встроенные ресурсы, такие как встроенные элементы <script>, javascript: URL-адреса, встроенные обработчики событий и встроенные элементы <style>.

'unsafe-eval'

Позволяет использовать eval () и аналогичные методы для создания кода из строк.

xyz.com

Разрешает контент с хоста 'xyz.com'. (См. host-source под источником)

Источник: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/default-src

---

Второй CSP более строг, чем первый. Это позволяет только контент, размещенный из того же источника.

Я бы порекомендовал прочитать этой документации , чтобы лучше понять назначение CSP и способы их эффективного использования.

Answer 2

Ваш второй вариант более безопасен, но чтобы разрешить встроенный скрипт, вы можете использовать nonce ИЛИ SHA256.

Для получения дополнительной информации вы можете перейти по указанным ссылкам.

https://developers.google.com/web/fundamentals/security/csp/#if_you_absolutely_must_use_it

https://csp.withgoogle.com/docs/adopting-csp.html#refactor-inline-event-handlers-and-javascript-uris