我是后端开发人员,帮助前端团队部署 Web 服务器,在研究漏洞时,我遇到了内容安全策略,如果我将 CSP header 设置为“Content-Security-Policy: default-src ' self' data: {own_domain_1} {own_domain_2}",该网站无法正常工作,前端团队告诉我,添加 'unsafe-inline' 和 'unsafe-eval' 不会构成威胁,因为数据所在的域加载的数据是我们自己的,但我还没有找到任何类型的文件来证明这一说法,这是真的吗?如果不是,您能否向我指出该文件,以便我可以将其提交给我的上级。提前致谢。
最佳答案
如果能够避免 unsafe-inline 和 unsafe-eval,那肯定会更好。
看到/需要不安全内联的通常原因是页面上有内联样式或样式标签。将所有内容移至您的 css 文件并仅使用类。
除非有非常有力的理由,否则你不应该允许不安全评估。即使您发现这个案例非常有力,您也应该问自己这个功能是否真的有必要。
这两个漏洞都存在严重漏洞,不仅来自第 3 方用户,还来自您自己的员工 - 不要仅仅因为他们告诉您就相信它们。脚本注入(inject)是一个严重的安全问题。
关于javascript - 'unsafe-inline' 'unsafe-eval' 的 CSP 安全使用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63253952/