Hallo,

gibt es ein gute Seite, die auf Deutsch oder Englisch gut erläutert, in welchen Situationen auf Inline Styles definitiv verzichtet werden sollte, da es ein unnötiges Sicherheitsrisiko darstellt? Man könnte natürlich argumentieren, dass eine Applikation sich stets darum kümmern muss, die Daten von Dritten vorab zu säubern. Würdet ihr aber auch noch zusätzlich die CSP schärfer schalten, dass Inline Styles blockiert werden?

Ganz konkrete Frage in diesem Kontext: Wenn in einer Web-Applikationen HTML-Fragmente von Dritten angezeigt werden, würdet ihr zusätzlich zum Säubern des HTML-String der Fremdquelle vor Einbindung in dem DOM die CSP so setzen, dass Inline Styles blockiert werden?

Gruss Michael