ローカルホストをコンテンツセキュリティポリシーに追加するのは安全ではありませんか?
index.htmlに次のmetaタグを設定しました。これにより、ローカル開発が簡素化されますが、本番コードにもデプロイされます。
<meta http-equiv="Content-Security-Policy" content="default-src 'self' localhost:* ws://localhost:*;">
このようにlocalhostを追加すると、あらゆるタイプのクロスサイトスクリプティングエクスプロイトが可能になる既知の方法はありますか?
GoogleのCSP評価者 によると、問題ないようです(少なくとも、localhostの部分)。
これは最適ではありませんが、ユーザーのセキュリティを大幅に低下させることはありません。
この理由は、ブラウザとコンピュータが任意のWebページの信頼できるコンピューティングベースを形成するためです。信頼できないマシンからブラウジングしている場合、データの安全性と交換のプライバシーを保証するためにWebページが実装できるセキュリティルールは世界中にありません。