Es posible configurar el Contenido de Política de Seguridad para no bloquear nada en absoluto? Estoy corriendo un equipo de seguridad de clase, y nuestra web hacking proyecto se está ejecutando en problemas en las versiones más recientes de Chrome ya que sin CSP encabezados, automáticamente el bloqueo de ciertos ataques XSS.

InformationsquelleAutor joshlf | 2016-03-14

3 Comentarios

  1. 12

    Para las personas que quieren una aún más permisivo posts, porque las otras respuestas no eran lo suficientemente permisiva, y que deben trabajar con google chrome para que * no es suficiente:

    default-src *  data: blob: 'unsafe-inline' 'unsafe-eval'; 
    script-src * data: blob: 'unsafe-inline' 'unsafe-eval'; 
    connect-src * data: blob: 'unsafe-inline'; 
    img-src * data: blob: 'unsafe-inline'; 
    frame-src * data: blob: ; 
    style-src * data: blob: 'unsafe-inline';
    font-src * data: blob: 'unsafe-inline';
    • funciona como un encanto, gracias
  2. 11

    No es seguro en absoluto, sino como punto de partida perfecto el real de permitir que todas las políticas es:

    default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline';

    Ver: https://content-security-policy.com/ y este documento guía de migración de.

    • Blob y perdidas de datos, ejemplo: default-src * datos: blob: ‘inseguro-inline’ ‘inseguro-eval’;
  3. 6

    La mejor manera sería no aplicar ninguna política.

    Pero para responder a tu pregunta, un «permitir todas las políticas» probablemente sería:

    default-src * 'unsafe-inline' 'unsafe-eval' data: blob:; 

    Nota: no probado

    • Por desgracia, sin ningún tipo de política en lugar de Cromo, de forma proactiva, añade algunos XSS protecciones, de modo de no tener nada en realidad es peor. Pero gracias!

Dejar respuesta

Please enter your comment!
Please enter your name here