Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

CSP inline css

AtakanAtici

Merhaba,
Bir güvenlik zafiyeti listem var ve bu listedeki zafiyetlerden biri de Content-Security-Policy(CSP)'nin unsafe-inline olmaması gerekiyor.
380 adet view var ve neredeyse her view'in içerisinde inline css veya js kodları bulunuyor.
Bunun için her sayfa açıldığında çalışacak, css ve js tagları içerisine 'nonce' değeri atayan ve bu 'nonce' değerini CSP headerına yazan bir middleware yazdım.
Fakat şu sorunu aşamadım :
'nonce' değeri <style> ve <script> tagları için oluşturulabiliyor fakat <div style="padding: 20%"> gibi yazılmış bir inline style etiketinde işe yaramıyor.
Vaktiniz için teşekkür ederim, iyi çalışmalar.

mgsmus

AtakanAtici Kısa bir araştırma yaptım. Anladığım kadarıyla ya style="" kullanmayacaksınız ya da unsafe-hashes kullanacaksınız: https://content-security-policy.com/unsafe-hashes/

Kendi yazdığınız kodlar için bir sıkıntı olmaz ama DOM manipülasyonu yapan bir js kütüphanesi kullanıyorsanız ve elementlere style ekliyorsa unsafe-hashes dışında pek bir seçeneğiniz yok gibi. Sadece isim olarak duyduğum ama hiç ilgilenmediğim bir konu açıkçası.

AtakanAtici

mgsmus Teşekkürler, DOM içerisindeki tüm style parametresini bir dizi içerisine alıp daha sonra o diziyi bir style etiketinin içerisine yazdırarak şu anlık bir çözüm bulduk. Tam olarak test etmedik ama şuanlık bir sorun yok gibi. Vaktiniz için teşekkürler