内容安全政策:style-src' self'内联样式的替代方案?

时间:2014-07-22 14:59:59

标签: html css security content-security-policy

您好我们尝试构建一个安全性很重要的Web服务。我们在标题中应用内容安全策略,如下所示:

Content-Security-Policy: script-src 'self'; object-src 'self'; font-src 'self'; connect-src 'self'; frame-src 'self'; media-src 'self'; style-src 'unsafe-inline' 'self'

问题在于,由于某些Javascript / JQuery库的功能原因,只需要内联样式(我们不能重写所有库),并且还会有用TinyMCE或其他HTML编辑器编写的用户内容,所以不允许使用CSS内联样式。

以下是为什么这可能是一个安全问题的答案: http://lists.w3.org/Archives/Public/public-webappsec/2012Mar/0046.html

是否有人知道某些内联样式“白名单”的可能性(例如允许颜色和字体大小,但不允许背景图像和高级CSS功能)?是否可以使用PHP中的服务器端安全白名单过滤器(建议欢迎!)?

0 个答案:

没有答案