アカウント名:
パスワード:
CSP を導入しているけど、インラインスクリプトが使えないと不便だからか 'unsafe-inline' を許可しているサイトも多いですが、危険だし、中途半端で美しくないポリシーだと思います。
6. Content Security Policy Directives [w3.org] より
In either case, developers SHOULD NOT include either 'unsafe-inline', or data: as valid sources in their policies. Both enable XSS attacks by allowing code to be included directly in the document itself; they are best avoided completely.
'unsafe-inline' は XSS 攻撃を可能にするので、いずれのケースであっても、指定すべきでな
Microsoftが修正しないことの理由にはなっていませんね。
> Microsoftが修正しないことの理由にはなっていませんね。
いいえ、まさにここがMSが修正しないという選択肢をとることのできる理由そのものです
それで、今まで動いてたシステムが動かなくなったら文句言うんだろ?
そもそも危険だ、それを知って実装するならそれなりに注意を払うべきだ。という大前提をすっ飛ばしてこうすれば動くといってプログラム書くやつが多すぎるからこうなるんだ。
M$のIEやEdgeのみサポートなんてサイトは、その程度のエンジニアが作成した地雷原だと思って、近づかないようにしましょうということですよ。
自分の頭に向けて銃を撃つ奴のためだけにそれだけを防ぐ安全装置を付けろなんて言う馬鹿はいない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
そもそも 'unsafe-inline' は危険なので使うべきではないとW3C勧告に書かれている (スコア:3)
CSP を導入しているけど、インラインスクリプトが使えないと不便だからか 'unsafe-inline' を許可しているサイトも多いですが、危険だし、中途半端で美しくないポリシーだと思います。
6. Content Security Policy Directives [w3.org] より
'unsafe-inline' は XSS 攻撃を可能にするので、いずれのケースであっても、指定すべきでな
「危険なので使うべきではない」と書かれているから危険な目にあっても仕方がない? (スコア:0)
Microsoftが修正しないことの理由にはなっていませんね。
Re: (スコア:0)
> Microsoftが修正しないことの理由にはなっていませんね。
いいえ、まさにここがMSが修正しないという選択肢をとることのできる理由そのものです
Re: (スコア:0)
それで、今まで動いてたシステムが動かなくなったら文句言うんだろ?
そもそも危険だ、それを知って実装するならそれなりに注意を払うべきだ。という大前提をすっ飛ばしてこうすれば動くといってプログラム書くやつが多すぎるからこうなるんだ。
Re: (スコア:0)
M$のIEやEdgeのみサポートなんてサイトは、その程度のエンジニアが作成した地雷原だと思って、近づかないようにしましょうということですよ。
Re: (スコア:0)
自分の頭に向けて銃を撃つ奴のためだけにそれだけを防ぐ安全装置を付けろなんて言う馬鹿はいない