Ingenieure bei Google haben entwickelt und empfehlen die Verwendung eines strikten CSP: https://csp.withgoogle.com/docs/strict-csp.htmlGoogles Strict CSP 3, style-src?
Ziel ist es, nur Skripte, die eine Nonce haben. Es gibt keine Stil-Src-Direktive in ihrem CSP, also in unserer APP kann ich Sachen wie google Schriftarten, externe css Blätter usw. ohne ein nonce laden.
Das scheint wie ein Fehler in ihrem CSP, oder mir fehlt etwas?
Ich denke, was passiert, ist, dass die neuere "strikt-dynamische" Einstellung, die sie empfehlen, das Autoloading einiger Ihrer Abhängigkeiten erlaubt.
Das Ziel ‚streng-dynamische‘ Quelle Ausdruck Content Security Politik einfacher zu implementieren für bestehende Anwendungen zu machen, die einen hohen Vertrauensgrad direkt laden sie in den Skripten, aber niedrige Vertrauen in ihre Fähigkeit, eine vernünftige Liste von Ressourcen bereitstellen, um vorne zu laden.
Es erlaubt Skripten, die Zugriff auf die Seite über Nonces oder Hashes, um ihre Abhängigkeiten ohne hinzufügen sie explizit auf die Richtlinie der Seite.
ref: https://w3c.github.io/webappsec-csp/#strict-dynamic-usage