У меня есть большая, устаревшая кодовая база, которую я бы хотел ввести в заголовок Content-Security-Policy
. В краткосрочной перспективе невозможно по-настоящему заблокировать сайт (например, есть встроенные сценарии повсюду, у которых нет автоматизированного охвата тестирования), но по крайней мере я могу начать с запрещения доступа к источникам контента, которые я знаю наверняка не используются в настоящее время, а затем медленно сотрясают его со временем.Что такое максимально разрешающая политика безопасности контента?
К сожалению, список источников, которые не используются, является довольно коротким. Это была моя первая попытка на значении Content-Security-Policy
:
default-src * 'unsafe-eval' 'unsafe-inline'
Это сломал несколько вещей, таких как images sourced using the data: scheme. Оглядываясь, я вижу a number of things you might want to include, например connect-src ws:
, которые явно не вызываются в the docs.
Что такое максимально допустимое значение заголовка Content-Security-Policy
, которое в основном позволяет сайту делать все, что разрешено браузером по умолчанию? Спрашивается по-другому: какое значение заголовка я могу представить, что определенно не сломает что-либо на сайте?
Я бы чувствовал себя более комфортно, представляя заголовок на устаревшем сайте, если бы мог начать с чего-то, что, как я знаю, не сломает ничего, а затем вычесть разрешения, которые, как я знаю, безопасны для удаления.
Прохладный. Я особенно ценю, что вы оба ответили на вопрос, как было задано, и указали, что это лучший способ сделать это (расширение caspr и использование режима отчетности, который я упустил). Я собираюсь попробовать. –