Hallo,

sofern ein HTML-String/Code-Fragment aus dritter (unbekannter) Quelle softwaretechnisch übernommen wird, ist stets sicherzustellen, dass die Daten vor Einbindung in die eigene Umgebung/Webseite "gesäubert" werden, um Schadcode fernzuhalten. Sanitizer können aber nicht davor schützen, dass Inline-Styles böswillig den Nutzer optisch täuschen oder etwas vorgaukeln.

Sollte man dann deshalb gleich die ganzen Inline-Style aus dem HTHML-Code aus dritter Quelle entfernen? Mit den CSP-Einstellungen für style-src unsafe-inline verbieten ist ja nur sinnvoll, wenn man im eigenen HTML nicht auch Inline-Styles verwendet (aus welchen Gründen auch immer) und nicht auf iframes etc zurückgreifen kann.

Gibt es hierzu irgendwo Erläuterungen, die das Problem verständlich skizzieren? Gibt es ggfs. auch eine Web-Seite, die veranschaulicht, wie sich die unterschiedlichen CSP setting für style-src auf die Darstellung auswirken? Oder kann man das gar im Browser für eine Webseite simulieren (ich habe keine Einstellung in den Entwicklertools gefunden)?

Mir ist das Thema Inline-Styles und die Problematik bekannt, aber ich würde gern dazu eine Demo geben. (... ich könnte natürlich auch am eigenen Server so etwas basteln, aber das kostet zuviel Zeit).

Gruss Michael