Puede usar la Política de seguridad de contenido para no permitir los atributos de estilo, pero solo puede solucionar esto simplemente usando javascript para modificar el estilo de un elemento. ¿No es esto un agujero de seguridad o me falta algo?
Puede usar la Política de seguridad de contenido para no permitir los atributos de estilo, pero solo puede solucionar esto simplemente usando javascript para modificar el estilo de un elemento. ¿No es esto un agujero de seguridad o me falta algo?
Puede usar CSP para bloquear fuentes específicas de hojas de estilo, pero no para rechazar atributos de estilo particulares. Por ejemplo, puede no permitir estilos en línea, o no permitir estilos remotos, o ambos. (Si establece style-src: none
, supongo que será como HTML 3.)
Si un atacante está ejecutando JavaScript en su sitio, entonces tiene problemas mucho más grandes que su capacidad para modificar los estilos de su sitio. Pueden ocultar elementos completos (eliminándolos del DOM), filtrar datos privados y realizar acciones como usuario registrado.
CSP es un mecanismo de defensa en profundidad y no pretende ser el límite o control de confianza principal de ningún sistema. Cuando estoy probando aplicaciones web, informo todos los intentos de ejecución de scripts (incluso cuando están bloqueados por CSP) como un XSS, aunque sí tengo en cuenta los que están mitigados por CSP. (Tenga en cuenta la frecuencia con la que se encuentran los desvíos de CSP).
Lea otras preguntas en las etiquetas javascript css content-security-policy