Gregory's Server— Вы че блять, свои сайты в киосках заряжаете? Как инлайн данные могут прийти из недоверенного источника?!
|
21 comments
 «Защищать» ИНЛАЙН ресурсы грёбаными нонсами Под чем этот стандарт вообще разрабатывали, и кто сука допустил его принятия
[DATA EXPUNGED]
@saiv46
[DATA EXPUNGED]
@saiv46 у адблока есть ещё такая штука как "косметические фильтры", на случай если запроса который можно отрезать не происходит
[DATA EXPUNGED]
@saiv46 вообще это гениально  @mo сама идея нонсов крутая, когда у половина сайтов грузится с cdn, а вот для инлайнов это как побочка, видимо. Сама идея использовать инлайны мне не нравится, но кто-то же так делает и среда такое позволяет @sattellite инлайны хороши тем, что для них не нужно делать запрос, и ждать 1+ райундтрипов У меня в инлайне CSS, отвечающий за верстку, а в отдельном файле за стили. Так сделано, чтобы ничего не дергалось во время загрузки на медленном соединении Но нет, оказывается инлайнить СТИЛИ это сука небезопасно @sattellite и если у меня есть выбор, удовлетворить чекер дегенератской политики, или сделать Cumulative Layout Shift = 0, то тут выбор очевиден @mo а, для этого даже какая-то метрика в веб перформансе есть, название забыл. Я такой css не инлайнил, а в заголовок встраивал в теге style. @sattellite да, я проверила ещё раз. Встраивать код в тег style в хедере, это unsafe-inline лмао @mo нет, так обзывается инлайн прямо в параметр style у элементов. А как зовется вынесенный в заголовок стиль забыл. @sattellite я это только что глазами проверила, о чем ты вообще @mo да, ты права. Я ошибся. Этот параметр действительно разрешается с помощью unsafe-inline https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/style-src#unsafe_inline_styles @tennoseremel кешированием чего? Там мизерные объемы нужны, чтобы верстка корректно встала. Но если их вынести в отдельный файл, страница неиронично начинает дёргаться при загрузке, и это не только гугла мнение, я проверяла
[DATA EXPUNGED]
|
Такое ощущение, что эта хуйня создана, чтобы заставлять людей страдать. Без CSP нИбЕзОпАсНа, а с CSP все, всё сука отвалится
хешировать блять ИНЛАЙН РЕСУРСЫ, ВЫ ТАМ ЁБУ ДАЛИ ЧТО ЛИ