Permettre À Tout Le Contenu Politique De Sécurité?

Il est possible de configurer le Contenu de la Politique de Sécurité à ne pas bloquer quoi que ce soit? Je suis à court d'un ordinateur de classe de sécurité, et notre web piratage projet est en cours d'exécution dans les questions sur les nouvelles versions de google Chrome car, sans CSP en-têtes, c'est automatiquement le blocage de certaines attaques XSS.

OriginalL'auteur joshlf | 2016-03-14

  1. 8

    Il n'est pas sûr du tout, mais comme point de départ la réel permettent à tous de la politique est:

    default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline';

    Voir: https://content-security-policy.com/ et cette SCP guide de migration.

    OriginalL'auteur zerologiko

  2. 7

    Pour les personnes qui veulent encore une encore plus permissive les messages, parce que les réponses ci-dessus n'étaient tout simplement pas assez permissif, et ils doivent travailler avec google chrome qui * est tout simplement pas assez:

    default-src *  data: blob: 'unsafe-inline' 'unsafe-eval'; 
script-src * data: blob: 'unsafe-inline' 'unsafe-eval'; 
connect-src * data: blob: 'unsafe-inline'; 
img-src * data: blob: 'unsafe-inline'; 
frame-src * data: blob: ; 
style-src * data: blob: 'unsafe-inline';
font-src * data: blob: 'unsafe-inline';
    fonctionne comme un charme, merci

    OriginalL'auteur Rainb

  3. 6

    La meilleure façon serait de ne pas l'application de toute politique.

    Mais pour répondre à votre question, un "permettre à tous politique" serait probablement:

    default-src * 'unsafe-inline' 'unsafe-eval' data: blob:;

    Note: pas testé

    Malheureusement sans aucune politique en place, Chrome de manière proactive ajoute quelques XSS protections de sa propre initiative, afin de n'avoir rien est en fait pire. Mais merci!

    OriginalL'auteur oreoshake