style-src
〜'self'
を設定すると、style
タグまたはstyle
属性を使用してインラインスタイルを使用できなくなります。これは意図したとおりに動作します。 JS経由でstyle
要素を追加することもブロックされます。Content Security Policyのstyle-src 'self'に違反することなく、JS内でスタイルを設定できますか?
しかし、私はまだHTMLElement
のstyle
オブジェクトのプロパティを設定できることに本当に驚きました。たとえばこれは、CSP違反をトリガしません:
document.getElementById('test').style.backgroundImage = 'url("image.png")';
は、これはどのようにそのようなhereやhereを説明したものなどの攻撃を防ぐのですか?
security.stackexchange.comまたはwebapps.stackexchange.comの方が適切です。 – Barmar
URL「image.pn」は自己と相対的ですが、別のドメインにある絶対URLを試してみるとどうなりますか? – robertjd
@robertjd私はちょうど読んで、実際にはurl()は 'img-src'ルールの対象です。 – ctusch