Leander: localhost im Content-Security-Policy Header - problematisch?

Beitrag lesen

Tag,

Eine Webseite fügt in ihren CSP Header einfach http://localhost hinzu, um Usern zu ermöglichen, per Ajax Infos von einem lokalen Server zu holen. Beispiel: eine Schach-Webseite, wo Bewertungen von einem Schachmotor via lokalem Server eingebunden werden. Ich kenne eine Webseite, wo man das mittels Java-Applet machen kann, aber das gefällt mir nicht.

Also zum Beispiel:

Content-Security-Policy: connect-src http://localhost:* http://example.org ...

Ist das ein Sicherheitsrisiko für die Webseite? Und wenn der Client diesen Server-Header (und das Javascript der Webseite) mittels lokalem Proxy tweakt, Beispiel siehe unten, um das selbe Ziel zu erreichen, ist das ein Risiko für den Clienten?

Filter-Regel:

SERVER-HEADER-FILTER: add-localhost-to-csp
s|Content-Security-Policy:(.+?)connect-src|Content-Security-Policy:$1connect-src http://localhost:*|gisU

Aktion:

{+server-header-filter{add-localhost-to-csp}}
example.com

Gruß, Leander