11 komentářů k článku Od sledování uživatelů skrze CSS ke Content Security Policy:

  1. Honza

    Nonce
    „Možná je čas, abyste si váš web prošli a přestali inline řešení používat.“, je dost odvážný výrok. Velká část webů psaných v Reactu používá právě inline styly. Byla by fajn nějaká ukázka reálného použití s nonce :) Každopádně díky za zajímavý článek, hodí se připomenout, že CSP existuje a má smysl.

    1. Martin HassmanAutor příspěvku

      Re: Nonce

      Ano, je to odvážné. Proto to píšu jen k zamyšlení, není to direktiva. Navíc ne každý čtenář používá React 😂

      Použití s reactem jsem hledat nezkoušel, pokud něco najdete, budu rád, když to sem přidáte.

  2. Carachoi

    report-uri
    Jeste by stalo zato zminit, ze report-uri je deprecated, a v budoucnu ho nahradi report-to, ktere ovsem zatim zadny browser neumi.

    1. Martin HassmanAutor příspěvku

      Re: default-src

      Není tam toho víc. Napsal jsem to jako základní představení, nepopisoval jsem ani zdaleka vše. V textu to zmiňuji.

  3. Caracho

    default-src
    Ovsem zrovna tohle je zaklad, bez ktereho to nema vubec smysl zacit pouzivat. Viz citace z MDN:

    A policy is described using a series of policy directives, each of which describes the policy for a certain resource type or policy area. Your policy **should** include a default-src policy directive, which is a fallback for other resource types when they don’t have policies of their own (for a complete list, see the description of the default-src directive). A policy needs to include a default-src or script-src directive to prevent inline scripts from running, as well as blocking the use of eval(). A policy needs to include a default-src or style-src directive to restrict inline styles from being applied from a element or a style attribute.

    1. Martin HassmanAutor příspěvku

      Re: default-src

      Souhlasím s tím, že je to základ. Nesouhlasím s tím, že bez default-str nemá smysl začít CSP používat. Ještě jednou zdůrazním, že tohle je základní představení, že CSP existuje a k čemu slouží. A hlavně, že bez hlubšího nastudování detailů mimo tento text nemá smysl provádět nasazení CSP – a v tom věřím čtenářům, že si poradí.

      Každopádně díky za doplnění. Klidně pokračuj.

Napsat komentář

Tato diskuse je již příliš stará, pravděpodobně již vám nikdo neodpoví. Pokud se chcete na něco zeptat, použijte diskusní server Devel.cz

Zdroj: https://www.zdrojak.cz/?p=22480