📄️ Low
Content Security Policy (CSP) is een HTTP-header die door de server wordt meegestuurd om de browser te vertellen welke bronnen (scripts, afbeeldingen, stijlen) betrouwbaar zijn. Het is bedoeld om XSS in de kiem te smoren. Maar wat als de CSP zelf lek is?
📄️ Medium
De ontwikkelaar snapt dat whitelisten van domeinen link is, en stapt over op een Nonce (Number Used Once).
📄️ High
Geen gekke externe domeinen en geen statische nonces. Wat blijft er nog over?
📄️ Impossible
Hoe stel je een CSP-header zó in dat hij écht niet te omzeilen is?