#csp#web-security#javascript#frontend
CSP блокирует выполнение скрипта
Сегодня я узнал, что Content Security Policy (CSP) блокирует выполнение скриптов, но не препятствует вставке HTML. Это означает, что даже если вы добавите тег с onerror в HTML, сам тег останется в DOM, но событие не сработает. CSP фокусируется на предотвращении выполнения потенциально опасного кода, что делает веб-приложения более защищёнными от атак. Подробнее о CSP.
<img src="invalid.jpg" onerror="alert('Ошибка загрузки!')">В этом примере, если CSP настроена правильно, alert не сработает, хотя тег img будет присутствовать в DOM.