Me gustaría saber qué tan bueno es el encabezado de la política de seguridad de contenido para evitar que XSS considere lo siguiente:
- Muchos sitios tienen JS / CSS en línea.
- Los encabezados de solicitud / respuesta se pueden modificar en Transit.
Me gustaría saber qué tan bueno es el encabezado de la política de seguridad de contenido para evitar que XSS considere lo siguiente:
Tiene que deshacerse del JS en línea para poder establecer una política útil. (Puede incluir unsafe-inline en la política, pero en ese momento está deshabilitando el punto principal de uso). Implementar el CSP de alguna manera útil significa que probablemente tendrá que actualizar su aplicación para eliminar cualquier script en línea. y estilo, pero esta es una medida de "mejores prácticas" con otras ventajas además de CSP.
Sí, si tienes un ataque de hombre en el medio, entonces ya has perdido algo peor. Si está en tu modelo de amenaza, deberías abordarlo con SSL.
El CSP no debe usarse como una defensa principal contra XSS, aún debe estar escapando de HTML y todas las demás medidas para que su aplicación sea segura y correcta. Pero es una buena medida de defensa en profundidad para hacer que la explotación de un lapso accidental sea menos probable.
Lea otras preguntas en las etiquetas web-application xss