Würden das Setzen von script-src 'self' und frame-src 'unsafe-inline' Konflikte verursachen?

Question

Wenn ich eine Content-Security-Richtlinie, die wie folgt aussieht:

default-src 'self' 
script-src 'self' 
frame-src 'unsafe-inline' 

Und ich habe eine Web-Seite, die einen Rahmen im Innern hat, wo den Rahmen, der zu einer externen Quelle verweist. Dieser Rahmen führt ein Skript aus, das vom selben Ursprung wie alles andere im Rahmen stammt.

Ich verstehe nicht wirklich, wie diese miteinander interagieren würden. Würden meine Skript- und Rahmeneinstellungen in irgendeiner Weise miteinander kollidieren, oder wäre es ein Fall, dass der Frame-src das Skript ausführen könnte?

Answer 1

Sie können 'unsafe-inline' nur in den default-src, script-src oder style-src Anweisungen in einem CSP festlegen. Es ist nicht gültig in der frame-src oder child-src als frame-src ist jetzt veraltet.

Wenn Sie den Rahmen laden, können Sie keine CSP-Einschränkungen für ihn festlegen, da er die eigenen vom Host festgelegten CSP berücksichtigt, sofern vorhanden.