Estoy probando la implementación del encabezado CSP. El valor del encabezado implementado es:
Content-Security-Policy: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'
X-Content-Security-Policy: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'
X-WebKit-CSP: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'
Sé que debido a inseguro-inline no se recomienda la configuración, pero no subestimo el significado de "datos:" como URI. Si es un URI, eso debería significar que los datos son un esquema (como https, ftp, etc.), pero no entiendo el propósito de esto.
Adicionalmente, se recomienda usar también los encabezados X-Content-Security-Policy y X-WebKit-CSP, ¿no están en desuso?