«phpClub» — архив тем ("тредов"), посвящённых изучению PHP и веб-технологий.
Аноним 2021/08/24 17:41:40  №2139076 1
А зачем нужны CSP заголовки? Ну то есть понятно, что они не дадут злоумышленнику эксплойтить xss, если он на сайте есть. Но не логичнее же бороться с причной, а не последствием? Использовать их против кликджекинга тоже как-то сомнительно, ведь для этого есть X-Frame-Options
Ответы: >>2139716
Аноним 2021/08/25 11:36:12  №2139716 2
>>2139076

В идеальном мире все пишут идеальный код без единой ошибки. В реальном мире у нас сайт из сотен тысяч строк кода, написанный людьми, которые давно уволились. И CSP позволяет повысить его уровень защищенности без перечитывания этих сотен тысяч строк кода. Разве это плохо?

Правда, если на сайте есть инлайновые скрипты, нам придется разрешить unsafe-eval, что ослабляет защиту.

CSP повышает стоимость нахождения уязвимости. Условно, без CSP уязвимость можно найти за X времени, а с CSP ее найти труднее и надо 10X времени. Соответственно, поиск уязвимости становится менее привлекательным для хакера и он пойдет лучше атаковать сайт без CSP.