アカウント名:
パスワード:
CSP を導入しているけど、インラインスクリプトが使えないと不便だからか 'unsafe-inline' を許可しているサイトも多いですが、危険だし、中途半端で美しくないポリシーだと思います。
6. Content Security Policy Directives [w3.org] より
In either case, developers SHOULD NOT include either 'unsafe-inline', or data: as valid sources in their policies. Both enable XSS attacks by allowing code to be included directly in the document itself; they are best avoided completely.
'unsafe-inline' は XSS 攻撃を可能にするので、いずれのケースであっても、指定すべきでな
Edgeで初期状態で有効なポップアップブロックをわざわざ無効にして攻撃者のサイトにアクセスし、さらにほとんどのブラウザやアンチマルウェアソフトウェアで搭載されるようになったサイトチェックも無効にしていて、さらに攻撃者の狙った通りに攻撃コードが機能するサイトを他に開いていて、挙句に(サイトチェックではなく、ローカル監視としての)アンチマルウェアソフトウェアが攻撃コードを検知せずに実行を許可したとき、もしかしたら成立するかもしれないね
そうだね、もうHTTPなんて使うなよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
そもそも 'unsafe-inline' は危険なので使うべきではないとW3C勧告に書かれている (スコア:3)
CSP を導入しているけど、インラインスクリプトが使えないと不便だからか 'unsafe-inline' を許可しているサイトも多いですが、危険だし、中途半端で美しくないポリシーだと思います。
6. Content Security Policy Directives [w3.org] より
'unsafe-inline' は XSS 攻撃を可能にするので、いずれのケースであっても、指定すべきでな
そういう問題ではない (スコア:1)
Re:そういう問題ではない (スコア:0)
Edgeで初期状態で有効なポップアップブロックをわざわざ無効にして攻撃者のサイトにアクセスし、
さらにほとんどのブラウザやアンチマルウェアソフトウェアで搭載されるようになったサイトチェックも無効にしていて、
さらに攻撃者の狙った通りに攻撃コードが機能するサイトを他に開いていて、
挙句に(サイトチェックではなく、ローカル監視としての)アンチマルウェアソフトウェアが攻撃コードを検知せずに実行を許可したとき、
もしかしたら成立するかもしれないね
そうだね、もうHTTPなんて使うなよ