web-dev-qa-db-ja.com

すべてのコンテンツセキュリティポリシーを許可しますか?

何もブロックしないようにContent-Security-Policyを構成することは可能ですか?私はコンピューターのセキュリティクラスを実行しています。Webハッキングプロジェクトは、新しいバージョンのChromeで問題が発生しています。これは、CSPヘッダーがないと、特定のXSS攻撃を自動的にブロックするためです。

24
joshlf

他の回答は十分に許容されておらず、google chrome for *だけでは不十分です。

default-src *  data: blob: filesystem: about: ws: wss: 'unsafe-inline' 'unsafe-eval' 'unsafe-dynamic'; 
script-src * data: blob: 'unsafe-inline' 'unsafe-eval'; 
connect-src * data: blob: 'unsafe-inline'; 
img-src * data: blob: 'unsafe-inline'; 
frame-src * data: blob: ; 
style-src * data: blob: 'unsafe-inline';
font-src * data: blob: 'unsafe-inline';
24
Rainb

安全ではありませんが、real allow all policyの開始点は次のとおりです。

default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline';

以下を参照してください https://content-security-policy.com/ および このCSP移行ガイド

17
zerologiko

最善の方法は、ポリシーを適用しないことです。

しかし、あなたの質問に答えるには、「すべてのポリシーを許可する」はおそらく次のようになります。

default-src * 'unsafe-inline' 'unsafe-eval' data: blob:; 

注:未テスト

7
oreoshake