繁体 English 中英

CSP style-src：登陆页面中的“unsafe-inline”

[英]CSP style-src: 'unsafe-inline' in a landing page

原文 2022-06-01 23:23:52 4 1 content-security-policy/ webflow

我使用 Webflow 工具来设置我的网站。 我导出代码以将其托管在我的服务器上。

我已经设置了Content-Security-Policy标头。

问题：大多数样式都是内联的。 我无法为所有这些添加哈希，有太多...

在 style-src 上放置 unsafe inline 有那么危险吗？

请注意，这是一个 99.9% 的静态站点（只是一个联系表格）。

谢谢您的帮助！

1 个解决方案

这里讨论了 style-src 中“不安全内联”的危险： https ://scotthelme.co.uk/can-you-get-pwned-with-css/

如果您可以限制 CSP 的其余部分，则危险将是有限的，但总会有人不同意。 如果技术上可行，您可以使用 nonce，因为您可以对所有标签使用相同的 nonce，但在每次页面加载时更改它。 似乎您不想或可以将所有 CSS 提取到单独的文件中，这当然是最简单的解决方案。

CSP style-src: 'unsafe-inline' - 值得吗？

[英]CSP style-src: 'unsafe-inline' - is it worth it?

CSP-当动态放置页面元素时，如何解决style-src unsafe-inline

[英]CSP - How to solve style-src unsafe-inline -when having dynamically positioned page elements

什么 CSP 更安全 - style-src 'none' 或 style-src 'unsafe-inline'

[英]What CSP is safer - style-src 'none' or style-src 'unsafe-inline'

“使用 Google 登录”按钮是否需要 CSP style-src 'unsafe-inline'？

[英]Does the "Sign In with Google" button require CSP style-src 'unsafe-inline'?

“style-src 'self' 'nonce-rAnd0m'” 是否比“style-src 'self' 'unsafe-inline'” 有任何安全优势？

[英]Is there any security benefit of "style-src 'self' 'nonce-rAnd0m'" over "style-src 'self' 'unsafe-inline'"?

使用没有 style-src 'unsafe-inline' 的 ACE Web-Editor

[英]Use the ACE Web-Editor without style-src 'unsafe-inline'

拒绝加载样式表，因为它违反了以下内容安全策略指令：“style-src 'self' 'unsafe-inline'”

[英]Refused to load the stylesheet because it violates the following Content Security Policy directive: "style-src 'self' 'unsafe-inline'"

Safari CSP 忽略 nonce 和 unsafe-inline

[英]Safari CSP ignores nonce and unsafe-inline

CSP 2.0（不安全内联）和Angular

[英]CSP 2.0 (unsafe-inline) and Angular

除了在CSP策略中添加“ unsafe-inline”以添加内联样式attr之外，setAttribute（）是否还有其他选择？

[英]Is there any alternative to setAttribute() other than adding 'unsafe-inline' in CSP policy for adding inline style attr?

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 CSP style-src: 'unsafe-inline' - 值得吗？ CSP-当动态放置页面元素时，如何解决style-src unsafe-inline 什么 CSP 更安全 - style-src 'none' 或 style-src 'unsafe-inline' “使用 Google 登录”按钮是否需要 CSP style-src 'unsafe-inline'？ “style-src 'self' 'nonce-rAnd0m'” 是否比“style-src 'self' 'unsafe-inline'” 有任何安全优势？使用没有 style-src 'unsafe-inline' 的 ACE Web-Editor 拒绝加载样式表，因为它违反了以下内容安全策略指令：“style-src 'self' 'unsafe-inline'” Safari CSP 忽略 nonce 和 unsafe-inline CSP 2.0（不安全内联）和Angular 除了在CSP策略中添加“ unsafe-inline”以添加内联样式attr之外，setAttribute（）是否还有其他选择？

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM