Hallo,

Soweit ich ihn verstanden habe, geht es um willentlich aus externen Quellen hinzugeladenen HTML-Code. Bei dem kann, so die Befürchtung, über Inline-CSS ein falscher Eindruck über Herkunft und Funktion beim Seitenbesucher erzeugt werden.

Genau darum geht es. Mit viel Geschick kann dem Nutzer etwas anderes vorgetäuscht werden und somit für Phishing & Co misbraucht werden. (Hinweis: Die CSP im selfhtml.org header erlauben ja auch explizit unsafe-inline CSS).

Gruss Michael