現在、すべてのサイトでModernizrを使用していますが、その動作方法が原因で判明しましたunsafe-inline
スタイルを許可する。私はすでにインラインスクリプトとスクリプトの安全でない評価を許可していません。インラインスタイルを許可することにはどのようなセキュリティリスクがあるのか知りたいですか?
インラインスタイルを許可すると、「他のXSS」の影響を受けやすくなります。クロスサイトスタイリング攻撃。
ここでの考え方は、ユーザーがスタイル属性をドキュメントに挿入できる場所ならどこでも、ページの外観を好きなように変更できるということです。深刻度の高い順に並べられた潜在的な攻撃をいくつか挙げます。
4番目の例では、unsafe-inline
に関係なく、外部ドメインに情報が漏洩することを完全に防ぐことができます。ただし、他のCSPルールで、信頼できないドメインまたはワイルドカードドメインへの要求を一切許可しないようにする必要があります。しかし、どこかでスタイル属性をブロックし損なった場合、最初の3つは常に可能です。