CSP - worker-src blob 安全性-解网

问：

在 CSP 中使用“blob”表示“worker-src”是否安全，或者是否存在安全缺陷？难道没有人通过从任何网站传递 blob 来启动工作线程吗？

内容-安全-策略

请参阅 w3.org/TR/CSP2/#source-list-guid-matching，其中指出：“允许 'blob：或 ”filesystem：“ URL 等同于 unsafe-eval”。换句话说，这是不安全的。这就是为什么你需要显式指定 “blob：” 而不是 “self” 自动允许它的原因。其目的是，需要显式添加“blob：”的行为应该让你停下来考虑可能涉及的风险。有关进一步的上下文，请参阅 github.com/w3c/webappsec-csp/commit/...

答： 暂无答案

上一个：转义 Qualtrics 管道文本以在 javascript 中使用（更一般地说，如何安全地转义用户生成的文本）

下一个：在 Electron 中禁用网络

CSP - worker-src blob 安全性

CSP - worker-src blob security

评论