Salt la conținut
Securitate Web

Ce este unsafe-inline (CSP)?

Directiva CSP care permite executarea scripturilor inline — slabeste protectia

Definiție unsafe-inline (CSP)

unsafe-inline in CSP permite executarea oricarui script inline (cod JavaScript scris direct in HTML). Aceasta anuleaza in mare masura protectia CSP impotriva XSS, deoarece un atacator care reuseste sa injecteze cod HTML obtine si executie JavaScript. Solutia: inlocuirea cu nonce-based CSP (script-src 'nonce-{random}') sau hash-based CSP.

De ce contează unsafe-inline (CSP)

Directiva unsafe-inline in CSP permite executarea oricarui cod JavaScript inserat direct in HTML, anulind practic intreaga protectie CSP impotriva atacurilor XSS. Cu unsafe-inline activ, un atacator care reuseste sa injecteze un singur tag <script> in pagina obtine executie completa de cod, exact ca in absenta CSP.

Cum verifici unsafe-inline (CSP)

SoftAudit parseaza politica CSP si verifica prezenta unsafe-inline in directivele script-src si style-src. Raporteaza impactul de securitate diferentiat: unsafe-inline in script-src este critic (permite XSS), in timp ce in style-src este risc mediu (permite CSS injection).

Verifică securitatea site-ului →

Greșeli frecvente

Adaugarea unsafe-inline ca solutie rapida cand scripturile inline nu functioneaza cu CSP este cea mai frecventa eroare — dezvoltatorii o trateaza ca fix temporar dar ramane permanent. Utilizarea unsafe-inline impreuna cu nonce-uri sau hash-uri este inutila deoarece browserul ignora nonce-urile cand unsafe-inline este prezent.

Bune practici

Elimina unsafe-inline din script-src prin mutarea codului JavaScript inline in fisiere externe sau prin adaugarea de nonce-uri unice pe fiecare script tag. Pentru style-src, unsafe-inline este mai acceptabil daca nu ai vulnerabilitati de injectie CSS, dar idealul ramane folosirea hash-urilor pentru stilurile inline necesare.

Verifică acum

Folosește instrumentul gratuit SoftAudit pentru a verifica unsafe-inline (csp) pe site-ul tău.

Verificare Securitate — Gratuit

Întrebări frecvente

Ce este unsafe-inline (CSP)?

unsafe-inline in CSP permite executarea oricarui script inline (cod JavaScript scris direct in HTML). Aceasta anuleaza in mare masura protectia CSP impotriva XSS, deoarece un atacator care reuseste sa injecteze cod HTML obtine si executie JavaScript. Solutia: inlocuirea cu nonce-based CSP (script-src 'nonce-{random}') sau hash-based CSP.

De ce este important unsafe-inline (CSP) pentru un website?

Directiva unsafe-inline in CSP permite executarea oricarui cod JavaScript inserat direct in HTML, anulind practic intreaga protectie CSP impotriva atacurilor XSS. Cu unsafe-inline activ, un atacator care reuseste sa injecteze un singur tag <script> in pagina obtine executie completa de cod, exact ca in absenta CSP.

Termeni asociați

Înapoi la glosarul complet