Content Security Policy (CSP) - sécurité d'emploi dangereux-eval?

Nous utilisons le CSP suivant l'en-tête:

default-src 'self' *.ourdomain.com; script-src 'self' *.ourdomain.com 'sha256-[...]' 'unsafe-eval'; 
connect-src 'self' *.ourdomain.com; 
style-src 'unsafe-inline' * 'self' data:; font-src *; 
img-src * 'self' data:

La recommandation par notre équipe de sécurité n'est pas l'utilisation non sécuritaire-eval.

Ma question est la suivante: tant que nous sommes à l'aide de sha256-[...] de limiter les script que nous n'avons pas déployé de nous-mêmes, quel est le risque pour la sécurité de toujours garder dangereux-eval dans le DSP-tête? En quoi la situation serait-ce toujours nous exposer à la croix-attaques contre les sites?

InformationsquelleAutor marin | 2016-05-11