CSP blokkeert 'Badges' in repo readme's #43

New issue

Open

opened 2026-06-02 07:52:04 +00:00 by jan.klopper · 0 comments

jan.klopper commented

2026-06-02 07:52:04 +00:00

Member

https://img.shields.io/github/actions/workflow/status/MinBZK/keycloak-theme/build.yaml

De huidige CSP directive voor img is “img-src 'self' data: blob:”
Gezien afbeeldingen doorgaans minder spannend zijn voor wat betreft 'active content', stel ik voor deze CSP regel minder restrictief te maken. Mijn voorstel is:

“img-src 'self' data: blob: https:”
Wellicht goed om ook meteen upgrade-insecure-requests op te nemen.

default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: blob: https:; font-src 'self'; connect-src 'self'; frame-src 'none'; frame-ancestors 'none'; base-uri 'self'; object-src 'none'; form-action 'self'; manifest-src 'self' data:; upgrade-insecure-requests;

IVM de strikte CSP headers zijn afbeeldingen die gebruikt worden als 'badge' om bijvoorbeeld de build-status van een project te tonen op de repo's homepage (via de readme file), niet zichtbaar. Concrete voorbeelden zijn: https://img.shields.io/github/actions/workflow/status/MinBZK/keycloak-theme/build.yaml De huidige CSP directive voor img is `“img-src 'self' data: blob:”` Gezien afbeeldingen doorgaans minder spannend zijn voor wat betreft 'active content', stel ik voor deze CSP regel minder restrictief te maken. Mijn voorstel is: `“img-src 'self' data: blob: https:”` Wellicht goed om ook meteen upgrade-insecure-requests op te nemen. `default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: blob: https:; font-src 'self'; connect-src 'self'; frame-src 'none'; frame-ancestors 'none'; base-uri 'self'; object-src 'none'; form-action 'self'; manifest-src 'self' data:; upgrade-insecure-requests;`