¿Qué vulnerabilidad exponen los controladores de eventos y javascript en línea? [duplicar]

  

Es la preocupación de que un usuario pueda insertar javascript que   ¿Entonces ser servido a otros usuarios?

Sí, y que JS puede hacer lo que quiera, al igual que una etiqueta de secuencia de comandos completa, con unas pocas restricciones de sintaxis inconvenientes menores.

  

Si es así, ¿no es esto un problema con el hecho de que un usuario de alguna manera tiene el   ¿Capacidad de servir lo que quieran a los usuarios de su sitio?

Sí, no quieres que eso suceda, CSP o no. Desea transmitir la intención del usuario, no volver a publicar la entrada del usuario. CSP no es la primera línea de defensa, es una copia de seguridad para mitigar el daño de los errores, como la falta de saneamiento suficiente, los motores de plantillas demasiado inteligentes y los errores simples.

  

¿Cómo es esto un problema de CSP?

Es contenido y se relaciona con la seguridad, por lo que la Política de seguridad del contenido es un buen lugar para abordar el problema, ¿no?

  

Si es así, ¿no es esto un problema por el hecho de que un usuario tiene la capacidad de servir lo que quiera a los usuarios de su sitio?

En realidad, es muy común que los usuarios tengan la capacidad de servir su propio contenido. Solo eche un vistazo a todas las redes sociales y sitios de blogs públicos donde los usuarios pueden proporcionar su propio contenido dentro de un sitio que no poseen.

  

¿Cómo es esto un problema de CSP?

Por lo general, el contenido agregado por los usuarios se desinfecta, es decir, se eliminan las secuencias de comandos y otras cosas. Pero, este desinfectante puede tener errores. CSP ofrece una línea de defensa adicional: si CSP no permite la secuencia de comandos en línea, no se ejecutará ninguna secuencia de comandos en línea a pesar de que alguna secuencia de comandos en línea podría haber pasado por alto el saneamiento.