Low
Content Security Policy (CSP) is een HTTP-header die de browser vertelt welke bronnen betrouwbaar zijn. Het is bedoeld om XSS te blokkeren. Maar wat als de CSP zelf lek is geconfigureerd?
Medium
De ontwikkelaar begrijpt dat het whitelisten van externe domeinen gevaarlijk is en stapt over op een Nonce-systeem.
High
Geen externe domeinen en geen statische nonces. Toch is er nog een weg.
Impossible
Hoe stel je een CSP-header in die echt niet te omzeilen is?