Je hebt een klacht over de onderstaande posting:
Ik heb zelf slechts sporadische ervaring met CSP, maar van wat ik lees is het prima mogelijk om ook andere subdomains van hetzelfde domain toe te staan. https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP Is dit een geval van doorgeschoten beveiliging, of gewoon van een verkeerde configuratie? En is de insteek van je post dat CSP als geheel een slecht idee is, of dat dit specifieke voorbeeld een voorbeeld is van doorgeschoten beveiliging? Als security professionals horen we namelijk IMHO ook ambassadeurs te zijn van een degelijke beveiliging, en ik vind het een beetje eng om dan a priori adviezen te geven over dat bepaalde beveiligingslagen niet nodig of overdreven zijn. Er zijn namelijk goede redenen om CSP in te stellen, en het advies zou naar mijn mening met klem niet moeten zijn om CSP maar helemaal uit te zetten.
Beschrijf je klacht (Optioneel):