アカウント名:
パスワード:
CSP を導入しているけど、インラインスクリプトが使えないと不便だからか 'unsafe-inline' を許可しているサイトも多いですが、危険だし、中途半端で美しくないポリシーだと思います。
6. Content Security Policy Directives [w3.org] より
In either case, developers SHOULD NOT include either 'unsafe-inline', or data: as valid sources in their policies. Both enable XSS attacks by allowing code to be included directly in the document itself; they are best avoided completely.
'unsafe-inline' は XSS 攻撃を可能にするので、いずれのケースであっても、指定すべきでな
Microsoftが修正しないことの理由にはなっていませんね。
それで、今まで動いてたシステムが動かなくなったら文句言うんだろ?
そもそも危険だ、それを知って実装するならそれなりに注意を払うべきだ。という大前提をすっ飛ばしてこうすれば動くといってプログラム書くやつが多すぎるからこうなるんだ。
M$のIEやEdgeのみサポートなんてサイトは、その程度のエンジニアが作成した地雷原だと思って、近づかないようにしましょうということですよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
そもそも 'unsafe-inline' は危険なので使うべきではないとW3C勧告に書かれている (スコア:3)
CSP を導入しているけど、インラインスクリプトが使えないと不便だからか 'unsafe-inline' を許可しているサイトも多いですが、危険だし、中途半端で美しくないポリシーだと思います。
6. Content Security Policy Directives [w3.org] より
'unsafe-inline' は XSS 攻撃を可能にするので、いずれのケースであっても、指定すべきでな
「危険なので使うべきではない」と書かれているから危険な目にあっても仕方がない? (スコア:0)
Microsoftが修正しないことの理由にはなっていませんね。
Re:「危険なので使うべきではない」と書かれているから危険な目にあっても仕方がない? (スコア:0)
それで、今まで動いてたシステムが動かなくなったら文句言うんだろ?
そもそも危険だ、それを知って実装するならそれなりに注意を払うべきだ。という大前提をすっ飛ばしてこうすれば動くといってプログラム書くやつが多すぎるからこうなるんだ。
Re: (スコア:0)
M$のIEやEdgeのみサポートなんてサイトは、その程度のエンジニアが作成した地雷原だと思って、近づかないようにしましょうということですよ。