가능한 한 엄격한 CSP (콘텐츠 보안 정책)를 구현하고 싶습니다. this intro on CSP에 따르면, 인라인 스타일 (강조 광산) 나쁜 :엄격한 Content-Security-Policy에 대해 레일즈가 인라인 CSS가없는 양식을 렌더링 할 수 있습니까?
인라인 스타일 같은 방식으로 처리됩니다 스타일 속성 및 스타일 태그 모두가 놀라 울 정도로 영리 다양한 데이터으로부터 보호하기 위해 외부 스타일 시트로 통합한다 CSS가 가능하게하는 exfiltration 메소드.
정말 인라인 스크립트와 스타일이 필요한 경우 script-src 또는 style-src 지시문에 'unsafe-inline'을 허용 된 소스로 추가하여 활성화 할 수 있습니다. 하지만 제발하지 마십시오.
기본 form_tag
방법은 (내가 실제로 토큰 인증을 찾고 있었다하지만 내 마크 업에서 찾을 수 없습니다) UTF-8 숨겨진 필드를 삽입 :
<div style="display:none"><input type="hidden" value="✓" name="utf8"></div>
있는 - 때문에 display:none
의 -
$ curl -I http://localhost:3000 | grep Content-Security | fold
Content-Security-Policy-Report-Only: default-src https: 'self'; connect-src http
s: 'self'; font-src https: data:; frame-src https: 'self'; img-src https: 'self'
data:; media-src https: 'self'; object-src https: 'self'; script-src https: 'se
lf'; style-src https: 'self';
내가 기본 방지하여 인라인 CSS의 내 CSP의 스타일하지만 레일을 허용하고 싶습니다 다음 CSP의 위반으로 파이어 폭스 (32)에보고됩니다 그. 내가 무엇을 할 수 있을지?