アカウント名:
パスワード:
CSP を導入しているけど、インラインスクリプトが使えないと不便だからか 'unsafe-inline' を許可しているサイトも多いですが、危険だし、中途半端で美しくないポリシーだと思います。
6. Content Security Policy Directives [w3.org] より
In either case, developers SHOULD NOT include either 'unsafe-inline', or data: as valid sources in their policies. Both enable XSS attacks by allowing code to be included directly in the document itself; they are best avoided completely.
'unsafe-inline' は XSS 攻撃を可能にするので、いずれのケースであっても、指定すべきでな
Microsoftが修正しないことの理由にはなっていませんね。
自分の頭に向けて銃を撃つ奴のためだけにそれだけを防ぐ安全装置を付けろなんて言う馬鹿はいない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
そもそも 'unsafe-inline' は危険なので使うべきではないとW3C勧告に書かれている (スコア:3)
CSP を導入しているけど、インラインスクリプトが使えないと不便だからか 'unsafe-inline' を許可しているサイトも多いですが、危険だし、中途半端で美しくないポリシーだと思います。
6. Content Security Policy Directives [w3.org] より
'unsafe-inline' は XSS 攻撃を可能にするので、いずれのケースであっても、指定すべきでな
「危険なので使うべきではない」と書かれているから危険な目にあっても仕方がない? (スコア:0)
Microsoftが修正しないことの理由にはなっていませんね。
Re:「危険なので使うべきではない」と書かれているから危険な目にあっても仕方がない? (スコア:0)
自分の頭に向けて銃を撃つ奴のためだけにそれだけを防ぐ安全装置を付けろなんて言う馬鹿はいない