何もブロックしないようにContent-Security-Policyを構成することは可能ですか?私はコンピューターのセキュリティクラスを実行しています。Webハッキングプロジェクトは、新しいバージョンのChromeで問題が発生しています。これは、CSPヘッダーがないと、特定のXSS攻撃を自動的にブロックするためです。
他の回答は十分に許容されておらず、google chrome for *
だけでは不十分です。
default-src * data: blob: filesystem: about: ws: wss: 'unsafe-inline' 'unsafe-eval' 'unsafe-dynamic';
script-src * data: blob: 'unsafe-inline' 'unsafe-eval';
connect-src * data: blob: 'unsafe-inline';
img-src * data: blob: 'unsafe-inline';
frame-src * data: blob: ;
style-src * data: blob: 'unsafe-inline';
font-src * data: blob: 'unsafe-inline';
安全ではありませんが、real allow all policyの開始点は次のとおりです。
default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline';
以下を参照してください https://content-security-policy.com/ および このCSP移行ガイド 。
最善の方法は、ポリシーを適用しないことです。
しかし、あなたの質問に答えるには、「すべてのポリシーを許可する」はおそらく次のようになります。
default-src * 'unsafe-inline' 'unsafe-eval' data: blob:;
注:未テスト