Разрешить всю политику безопасности контента?

Можно ли настроить политику Content-Security-Policy, чтобы вообще ничего не блокировать? Я запускаю класс компьютерной безопасности, и наш веб-хакерский проект сталкивается с проблемами в новых версиях Chrome, потому что без каких-либо заголовков CSP он автоматически блокирует некоторые атаки XSS.

Ответ 1

Для людей, которые все еще хотят более разрешающие посты, потому что другие ответы были просто недостаточно разрешительными, и они должны работать с Google Chrome, для которого * просто недостаточно:

default-src *  data: blob: 'unsafe-inline' 'unsafe-eval'; 
script-src * data: blob: 'unsafe-inline' 'unsafe-eval'; 
connect-src * data: blob: 'unsafe-inline'; 
img-src * data: blob: 'unsafe-inline'; 
frame-src * data: blob: ; 
style-src * data: blob: 'unsafe-inline';
font-src * data: blob: 'unsafe-inline';

Ответ 2

Это совсем не безопасно, но в качестве отправной точки политика реального разрешения для всех :

default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline';

См. https://content-security-policy.com/ и это руководство по миграции CSP.

Ответ 3

Лучший способ - не применять какую-либо политику.

Но чтобы ответить на ваш вопрос, "разрешить всю политику", вероятно, будет:

default-src * 'unsafe-inline' 'unsafe-eval' data: blob:; 

Примечание: непроверенный