すべてのコンテンツセキュリティポリシーを許可しますか？

Question

何もブロックしないようにContent-Security-Policyを構成することは可能ですか？私はコンピューターのセキュリティクラスを実行しています。Webハッキングプロジェクトは、新しいバージョンのChromeで問題が発生しています。これは、CSPヘッダーがないと、特定のXSS攻撃を自動的にブロックするためです。

Rainb · Answer

他の回答は十分に許容されておらず、google chrome for *だけでは不十分です。

default-src * data: blob: filesystem: about: ws: wss: 'unsafe-inline' 'unsafe-eval' 'unsafe-dynamic'; script-src * data: blob: 'unsafe-inline' 'unsafe-eval'; connect-src * data: blob: 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src * data: blob: ; style-src * data: blob: 'unsafe-inline'; font-src * data: blob: 'unsafe-inline';

zerologiko · Answer

安全ではありませんが、real allow all policyの開始点は次のとおりです。

default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline';

以下を参照してください https://content-security-policy.com/ およびこのCSP移行ガイド。

oreoshake · Answer

最善の方法は、ポリシーを適用しないことです。

しかし、あなたの質問に答えるには、「すべてのポリシーを許可する」はおそらく次のようになります。

default-src * 'unsafe-inline' 'unsafe-eval' data: blob:;

注：未テスト