encabezado CSP default-src: datos:

0

Estoy probando la implementación del encabezado CSP. El valor del encabezado implementado es:

Content-Security-Policy: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'
X-Content-Security-Policy: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'
X-WebKit-CSP: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'

Sé que debido a inseguro-inline no se recomienda la configuración, pero no subestimo el significado de "datos:" como URI. Si es un URI, eso debería significar que los datos son un esquema (como https, ftp, etc.), pero no entiendo el propósito de esto.

Adicionalmente, se recomienda usar también los encabezados X-Content-Security-Policy y X-WebKit-CSP, ¿no están en desuso?

    
pregunta user187205 07.05.2018 - 20:06
fuente

1 respuesta

1

¿Qué hacen los datos

Permite URI de datos, como:

data:text/html;charset=utf-8;base64,PGgzPkhpPC9oMz4=

para ser utilizado como fuentes.

Los URI de datos pueden contener cualquier contenido, se usan ampliamente, ya que pueden reducir la cantidad de URL que se solicitan cuando se carga el sitio.

Debería usarlo

No si desea limitar el daño de la inyección y puede evitarlo, ya que permite que cualquier persona que pueda inyectar en la página use un URI de datos que contenga el contenido que desee.

En caso de que se usen los 3 encabezados

No es necesario usarlos para Chrome y Firefox, pero como muestra CanIUse , hay navegadores que todavía necesitan encabezados especiales.

    
respondido por el jrtapsell 07.05.2018 - 20:15
fuente

Lea otras preguntas en las etiquetas