11 komentářů k článku Od sledování uživatelů skrze CSS ke Content Security Policy:

  1. Honza

    Nonce
    „Možná je čas, abyste si váš web prošli a přestali inline řešení používat.“, je dost odvážný výrok. Velká část webů psaných v Reactu používá právě inline styly. Byla by fajn nějaká ukázka reálného použití s nonce :) Každopádně díky za zajímavý článek, hodí se připomenout, že CSP existuje a má smysl.

    1. Martin HassmanAutor příspěvku

      Re: Nonce

      Ano, je to odvážné. Proto to píšu jen k zamyšlení, není to direktiva. Navíc ne každý čtenář používá React 😂

      Použití s reactem jsem hledat nezkoušel, pokud něco najdete, budu rád, když to sem přidáte.

  2. Carachoi

    report-uri
    Jeste by stalo zato zminit, ze report-uri je deprecated, a v budoucnu ho nahradi report-to, ktere ovsem zatim zadny browser neumi.

    1. Martin HassmanAutor příspěvku

      Re: default-src

      Není tam toho víc. Napsal jsem to jako základní představení, nepopisoval jsem ani zdaleka vše. V textu to zmiňuji.

  3. Caracho

    default-src
    Ovsem zrovna tohle je zaklad, bez ktereho to nema vubec smysl zacit pouzivat. Viz citace z MDN:

    A policy is described using a series of policy directives, each of which describes the policy for a certain resource type or policy area. Your policy **should** include a default-src policy directive, which is a fallback for other resource types when they don’t have policies of their own (for a complete list, see the description of the default-src directive). A policy needs to include a default-src or script-src directive to prevent inline scripts from running, as well as blocking the use of eval(). A policy needs to include a default-src or style-src directive to restrict inline styles from being applied from a element or a style attribute.

    1. Martin HassmanAutor příspěvku

      Re: default-src

      Souhlasím s tím, že je to základ. Nesouhlasím s tím, že bez default-str nemá smysl začít CSP používat. Ještě jednou zdůrazním, že tohle je základní představení, že CSP existuje a k čemu slouží. A hlavně, že bez hlubšího nastudování detailů mimo tento text nemá smysl provádět nasazení CSP – a v tom věřím čtenářům, že si poradí.

      Každopádně díky za doplnění. Klidně pokračuj.

Napsat komentář

Zdroj: https://www.zdrojak.cz/?p=22480