Tag,
Eine Webseite fügt in ihren CSP Header einfach http://localhost hinzu, um Usern zu ermöglichen, per Ajax Infos von einem lokalen Server zu holen. Beispiel: eine Schach-Webseite, wo Bewertungen von einem Schachmotor via lokalem Server eingebunden werden. Ich kenne eine Webseite, wo man das mittels Java-Applet machen kann, aber das gefällt mir nicht.
Also zum Beispiel:
Content-Security-Policy: connect-src http://localhost:* http://example.org ...
Ist das ein Sicherheitsrisiko für die Webseite? Und wenn der Client diesen Server-Header (und das Javascript der Webseite) mittels lokalem Proxy tweakt, Beispiel siehe unten, um das selbe Ziel zu erreichen, ist das ein Risiko für den Clienten?
Filter-Regel:
SERVER-HEADER-FILTER: add-localhost-to-csp
s|Content-Security-Policy:(.+?)connect-src|Content-Security-Policy:$1connect-src http://localhost:*|gisU
Aktion:
{+server-header-filter{add-localhost-to-csp}}
example.com
Gruß, Leander