SEC_004_CSP_WITHOUT_INLINE_DEFAULTS: CSP begrenzt Script- und Style-Ausfuehrung

Severity: should. Bereich: security.

Regel

Anwendungen SOLLTEN eine Content-Security-Policy ohne pauschales unsafe-inline einsetzen und Templates entsprechend ohne Inline-Handler gestalten.

Reflection-Check

check:
  reflect:
    fields:
    - csp
    object: security_header_set

Evidence

alle Regeln dieses Bereichs