Autoriser toute la politique de sécurité du contenu?

Question

Est-il possible de configurer Content-Security-Policy pour ne rien bloquer du tout? J'exécute une classe de sécurité informatique, et notre projet de piratage Web rencontre des problèmes sur les nouvelles versions de Chrome car sans en-têtes CSP, il bloque automatiquement certaines attaques XSS.

Rainb · Answer

Pour les personnes qui souhaitent toujours des publications encore plus permissives, car les autres réponses ne sont tout simplement pas assez permissives et doivent travailler avec google chrome pour lequel * n'est tout simplement pas suffisant:

default-src * data: blob: filesystem: about: ws: wss: 'unsafe-inline' 'unsafe-eval' 'unsafe-dynamic'; script-src * data: blob: 'unsafe-inline' 'unsafe-eval'; connect-src * data: blob: 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src * data: blob: ; style-src * data: blob: 'unsafe-inline'; font-src * data: blob: 'unsafe-inline';

zerologiko · Answer

Ce n'est pas sûr du tout, mais comme point de départ le réel autorise toutes les politiques est:

default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline';

Voir: https: //content-security-policy.com/ et ce guide de migration CSP .

oreoshake · Answer

La meilleure façon serait de ne pas appliquer de politique.

Mais pour répondre à votre question, une "politique de tout autoriser" serait probablement:

default-src * 'unsafe-inline' 'unsafe-eval' data: blob:;

Remarque: non testé