Cara nem acredito que o conteúdo me atraiu assim, parabém mesmo, to tentando configurar o mercado pago num iframe e deu esse erro, aí caí aqui e descubro que o problema é colossal kkkk, pelo menos você abordou muita coisa e agora vou me programar pra adaptar meu site nisso aí.

Opa, valeu. É isso, quanto mais segurança, melhor ;)

puta conteúdo irado, meu bom!

Valeu, meu nobre ;)

Baita post Dulcetti!
Então...qdo mencionas o Admin do Netlify (CMS)
Estou lutando com esse cara pq recebo essa mensagem ao rodar o cara no host: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source

sabes me dizer qual seri o correto Content-Security-Policy para esse cara?

Valew Dulcetti

Estranho, não passei por esse problema. Tem mais detalhes, prints?

Muito bom, salvou minha vida! Me tacaram um relatório de pentest pra eu corrigir as vunerabilidades. Muito sofrimento...

Boa garoto ;)

Boa tarde Dulcetti!
o produto em que trabalho foi submetido a um teste de penetração (Pentest),
e o resultado foi que eu não posso configurar o CSP com o valor 'unsafe-inline' na tag style-src

ai quando eu não uso o 'unsafe-inline' meu css quebra todo.
Tem alguma outra forma de executar estilos inline sem a utilização do 'unsafe-inline' ?

Se tu tiver utilizando Styled Components, não vai dá pra fugir tanto não hein.
Como o css é gerado, atualmente, através de interações do usuário na tela e afins, é difícil estabelecer um hash fixo pra cada estilo pq a todo momento tu tem alteracoes na tela.
O que tu pode realmente fazer é passar o 'self', 'unsafe-line' mesmo.

Se tu parar pra perceber, temos o Google Optmize, o Firebase e outras ferramentas que inserem css inline pra gerar Testes AB, e são fontes que tu pode colocar na tua diretiva.

A solução mais viável, é tentar criar uma lib de css da empresa mesmo, deixar de usar styled components e gerar o hash pra esse teu estilo.
Pq ele vai ser embeded.

Se quiser bater um papo mais a fundo, to disponivel no Linkedin.
Posso te passar umas dicas de como resolvi utilizando o next.js.

Infelizmente não tem como. Ou deixa dando erros ou deixa liberado no Pentest. Aí geralmente a gente precisa montar um documento com as explicações, os porquês de usarmos o unsafe-inline. Tanto para o script-src e style-src.

Abs.

Não consigo configurar CSP, uso até alguns geradores, faço tudo no esquema, depois que instalo no .htaccess as minhas "ibagens" somem! Eu to p.... estou a dias tentando fazer isso!

Bom, se as imagens sumiram é porque provavelmente faltou algum detalhe. Qual o erro que aparece no console?

Confesso que, quando sumiam a imagens, ainda não checava as mensagens no console. Só depois que me liguei de ver isso.

Fique sempre ligado no console. E fique ligado em ferramentas que colocam scripts ou imagens/vídeos, como GTM, Youtube e afins. Quando você não configura alguma propriedade, ele pega o default-src, que estando como self, já era, quebra quando é algo de fora ;)

É bem chato configurar essa merda mesmo :P

Estou vendo que levará tempo para acertar isso. Não para ficar fazendo meu site de cobaia

Fazendo alguns testes apareceu mais isto
[Report Only] Refused to frame 'https://www.mercadolibre.com/' because it violates the following Content Security Policy directive: "default-src 'self'". Note that 'frame-src' was not explicitly set, so 'default-src' is used as a fallback.

Ps: Tenho Mercado Pago instalado na loja

Agora estou sabendo na "prática" esse "Content Security Policy" é chato pra C#@$... para configurar, qualquer virgula derruba o site. Já mudei esse código várias vezes, até usei essas ferramentas que você só vai colocando os dados.

Artigo muito bem detalhado pra essa regrinha desgraçada, tô há horas tentando solucionar um problema do desgraçado do Paypal

Refused to set the document's base URI to 'https://www.paypalobjects.c... because it violates the following Content Security Policy directive: "base-uri 'self' https://*.paypal.com".

É bem chato mesmo, Thiago. Bati muito a cabeça até entender esses erros e aplicar correções

Excelente: objetivo e direto! :-) :-)

Rapaz, direto eu não sei se foi não auhuhahuauhahuuha

Eu consegui A+ em 1 dia pesquisando sobre esse assunto. Meu site estava totalmente vulnerável. :)