Closed SniperSister closed 6 years ago
Folgender Vorschlag zur Abstufung:
Case | ScoreType | Score |
---|---|---|
keine CSP (=kein Header) | warning |
0 |
CSP mit unsafe-* und ohne default-src: none |
info |
50 |
CSP mit unsafe-* mit default-src: none |
info |
75 |
CSP ohne unsafe-* und mit default-src: none |
warning |
100 |
Die default-src: none
Angabe macht schon Sinn und sollte das Scoring erhöhen, finde ich.
Passt!
CONTENT_SECURITY_POLICY wirft auf meiner Beispielseite einen Critical Issue mit Score 0, weil ich inline JS erlaube - ich verstehe dass das für die CSP wichtig ist und die Schutzwirkung massiv einschränkt, aber:
Daher Vorschlag: Keine CSP: ScoreType Warning, Score 0 CSP mit unsafe: ScoreType Info, Score 50 CSP ohne unsafe: alles gut, Score 100