SEC_004_CSP_WITHOUT_INLINE_DEFAULTS: CSP begrenzt Script- und Style-Ausfuehrung
Severity: should. Bereich: security.
Regel
Anwendungen SOLLTEN eine Content-Security-Policy ohne pauschales unsafe-inline einsetzen und Templates entsprechend ohne Inline-Handler gestalten.
Reflection-Check
check:
reflect:
fields:
- csp
object: security_header_setEvidence
- OWASP_CSP, OWASP Content Security Policy Cheat Sheet
- OWASP_HEADERS, OWASP HTTP Headers Cheat Sheet