您好我们尝试构建一个安全性很重要的Web服务。我们在标题中应用内容安全策略,如下所示:
Content-Security-Policy: script-src 'self'; object-src 'self'; font-src 'self'; connect-src 'self'; frame-src 'self'; media-src 'self'; style-src 'unsafe-inline' 'self'
问题在于,由于某些Javascript / JQuery库的功能原因,只需要内联样式(我们不能重写所有库),并且还会有用TinyMCE或其他HTML编辑器编写的用户内容,所以不允许使用CSS内联样式。
以下是为什么这可能是一个安全问题的答案: http://lists.w3.org/Archives/Public/public-webappsec/2012Mar/0046.html
是否有人知道某些内联样式“白名单”的可能性(例如允许颜色和字体大小,但不允许背景图像和高级CSS功能)?是否可以使用PHP中的服务器端安全白名单过滤器(建议欢迎!)?