CSP / unsafe inline - Githubissues

SIWECOS / HSHS-DOMXSS-Scanner

MIT License

3 stars 1 forks source link

CSP / unsafe inline #9

Closed SniperSister closed 6 years ago

SniperSister commented 6 years ago

CONTENT_SECURITY_POLICY wirft auf meiner Beispielseite einen Critical Issue mit Score 0, weil ich inline JS erlaube - ich verstehe dass das für die CSP wichtig ist und die Schutzwirkung massiv einschränkt, aber:

keines der großen CMS (= unsere Zielgruppe) setzt überhaupt per Default eine CSP
keines der großen CMS funktioniert ohne inline Scripts

Daher Vorschlag: Keine CSP: ScoreType Warning, Score 0 CSP mit unsafe: ScoreType Info, Score 50 CSP ohne unsafe: alles gut, Score 100

Lednerb commented 6 years ago

Folgender Vorschlag zur Abstufung:

Case	ScoreType	Score
keine CSP (=kein Header)	`warning`	0
CSP mit `unsafe-*` und ohne `default-src: none`	`info`	50
CSP mit `unsafe-*` mit `default-src: none`	`info`	75
CSP ohne `unsafe-*` und mit `default-src: none`	`warning`	100

Die default-src: none Angabe macht schon Sinn und sollte das Scoring erhöhen, finde ich.

SniperSister commented 6 years ago

Passt!