Можно ли настроить политику Content-Security-Policy, чтобы вообще ничего не блокировать? Я запускаю класс компьютерной безопасности, и наш веб-хакерский проект сталкивается с проблемами в новых версиях Chrome, потому что без каких-либо заголовков CSP он автоматически блокирует некоторые атаки XSS.
Разрешить всю политику безопасности контента?
Ответ 1
Для людей, которые все еще хотят более разрешающие посты, потому что другие ответы были просто недостаточно разрешительными, и они должны работать с Google Chrome, для которого *
просто недостаточно:
default-src * data: blob: 'unsafe-inline' 'unsafe-eval';
script-src * data: blob: 'unsafe-inline' 'unsafe-eval';
connect-src * data: blob: 'unsafe-inline';
img-src * data: blob: 'unsafe-inline';
frame-src * data: blob: ;
style-src * data: blob: 'unsafe-inline';
font-src * data: blob: 'unsafe-inline';
Ответ 2
Это совсем не безопасно, но в качестве отправной точки политика реального разрешения для всех :
default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline';
См. https://content-security-policy.com/ и это руководство по миграции CSP.
Ответ 3
Лучший способ - не применять какую-либо политику.
Но чтобы ответить на ваш вопрос, "разрешить всю политику", вероятно, будет:
default-src * 'unsafe-inline' 'unsafe-eval' data: blob:;
Примечание: непроверенный