“unsafe-inline”“unsafe-eval”的CSP安全用法

Question

我是一个后端开发人员，帮助一个前端团队部署web服务器，当我研究漏洞时，我遇到了内容安全策略，如果我设置CSP头这个" Content - Security - Policy : default-src 'self‘data：{own_domain_1} {own_domain_2}"，网站不能工作，前端团队告诉我，添加'unsafe-inline’和'unsafe-eval‘不会造成威胁，因为加载数据的域是我们自己的，但我没有遇到任何类型的文档，这是真的吗？如果没有，你可以告诉我文档，这样我就可以把它带给我的上级了。提前谢谢。

Answer 1

如果你能避免不安全的内联和不安全的求值，这绝对是更好的。

看到/需要不安全内联的常见原因是页面上有内联样式或样式标签。将所有这些都转移到css文件中，并且只使用类。

除非有非常有力的理由支持它，否则不应该允许使用不安全的eval。即使你发现了这个非常有力的例子，你也应该问问自己这个特性是否真的是必要的。

这两个开放的严重漏洞，不仅来自第三方用户，而且来自你自己的员工-不要只是因为他们告诉你而信任他们。脚本注入是一个严重的安全问题。