Estoy revisando los encabezados de Política de Seguridad de Contenido establecidos en uno de nuestros servidores web y veo cómo se configura (donde "example.com" es nuestro sitio web de confianza).
Política de seguridad del contenido: "default-src 'self'; script-src 'self' data: 'unsafe-inline' 'unsafe-eval'; img-src 'self' * .example.com; fuente-src *; connect-src 'self' * example.com "
Mis preguntas son:
1) ¿La lista blanca unsafe-inline
y unsafe-eval
no derrotará a todo el CSP?
2) Si 'unsafe-inline' está permitido o incluido en la lista blanca arriba, ¿puede alguien llamar a JavaScript desde un sitio web externo, por ejemplo www.xxxxxx.com, que no está incluido en la directiva script-src
y por lo tanto, derrotar a todo propósito de la CSP? Por ejemplo: <script src="www.xxxxxx.com/bad.js">
Pasé por esta pregunta aquí y siguiendo las respuestas, parece que el CSP anterior no es bueno.