问Google CSP评估器和样式-src‘不安全-内联’
EN

Security用户

提问于 2021-09-09 15:32:42

回答 1查看 393关注 0票数 5

谷歌提供了一个CSP评估器来验证给定的内容安全策略是否设置良好(github，验证器)。但是，如果在'unsafe-inline'指令中使用style-src，则报告为“all good”(参见下面的图像)。

这难道不是(主要)挫败了定义样式源的目的吗？据我所知，攻击者将能够注入CSS。问题不像JavaScript执行那么大，但我不会用绿色标记来报告。我在这里错过了什么？

发布于 2022-10-30 13:14:25

我同意你的看法，这不应该是绿色的标志。我希望你能把这算成一个中等的发现。

从存储库来看，还有更多的问题应该得到一些关注，但我认为这并不是谷歌目前的首要任务。

票数 0

页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://security.stackexchange.com/questions/255073

复制

相似问题

问Google CSP评估器和样式-src‘不安全-内联’EN