Recientemente, he establecido encabezados de Política de seguridad de contenido para mi aplicación web. He tratado de ser lo más estricto posible. Lo que más me sorprende es el hecho de que tuve que permitir blob: para connect-src y img-src debido a un componente de terceros. (Tanto connect-src como img-src están restringidos a self y algunas URLs codificadas).
Entonces, mi pregunta es: ¿permitir a blob: un riesgo de seguridad general en el sentido de que un atacante puede en un script inyectado envolver cualquier URL con blob y por lo tanto conectarse a cualquier recurso arbitrario?