¿Es posible especificar una política de seguridad de contenido en los navegadores?

3

Normalmente, las políticas de seguridad de contenido son enviadas en los encabezados de respuesta por el servidor al navegador del cliente y le dicen qué es y qué no es aceptable cargar en el sitio. ¿Hay alguna manera de hacer esto a la inversa, de modo que escriba una política de seguridad de contenido para su navegador, para cada sitio, y luego solo cargue los recursos permitidos en ese sitio en particular? Esto sería posible si escribiera su propio navegador, pero me pregunto si alguno de los principales navegadores actuales tiene esta capacidad incorporada todavía, sin tener que crear o instalar un complemento.

    
pregunta kloddant 14.11.2017 - 18:52
fuente

1 respuesta

3

Ningún navegador que yo sepa tiene esto incorporado.

Seguramente sería posible construir un complemento de este tipo, pero en realidad no sería utilizable. ¿Por qué? Establecer un CSP solo para un sitio puede ser un dolor en la a ** incluso cuando es realizado por las personas que lo mantienen. Incluso si conoce bien su sitio, no es trivial saber exactamente de qué dominios se cargan las cosas. Comete un error y, boom, rompes algo en un rincón alejado que ni siquiera te das cuenta.

Ahora imagine que tiene que hacer esto para todos los sitios sin siquiera saber cómo están construidos. ¿Se romperá el desbordamiento de pila si deshabilito el JavaScript en línea? No tengo la mínima idea. Y, lo que es más importante, llevaría una eternidad descubrirlo. Ahora multiplique eso por miles para cubrir todos los sitios que visita.

Estoy seguro de que hay formas creativas de mejorar la experiencia del usuario, pero al final esto solo sería una pesadilla de usabilidad.

    
respondido por el Anders 14.11.2017 - 20:32
fuente

Lea otras preguntas en las etiquetas