-
@mmonerau Je n’en ai pas non plus. En gros je suis très extrémiste : default-src 'none'; style-src 'self'; script-src 'self'; img-src 'self'; font-src 'self'; Et c’est tout. Donc ni le CSS ni la frame de LastPass ne devrait passer ici.Permalink On twitter.com
Mood -2 🙁
-
@mmonerau Donc je vois bien LastPass bricoler à mort les CSP, avec au moins du unsafe-inline sur le style-src, un data: sur le img-src et un * sur le child-src. + faire sauter la sandbox pour avoir du JS actif dans leur iframe… 😨On twitter.com
Mood -1 🙁