Вседозволяющий CSP

15 августа 2025

Периодически для дебага нужно бывает переопределить Content-Security-Policy (CSP). Именно переопределить, а не удалить. Причем обычно нужно задать значения, которая разрешает все. И обычная * тут не подходит. Конечно я не помню это значение наизусть поэтому приходится заново искать ответ на этот вопрос, а он к сожаление не на первой странице в поиске лежит. Поэтому публикую его тут.

default-src * 'unsafe-inline' 'unsafe-eval' data: blob:; frame-src * data: blob:; frame-ancestors * data: blob:;

• Почти все долее специфичные дириктивы сводятся имеют fallback на default-src, а вот для iframe приходится уточнять.
• * - hазрешает загрузку с любых источников, включая сторонние домены.
• 'unsafe-inline' - разрешает встроенные скрипты и стили (inline <script> и атрибуты onclick="..." и т.п.).
• 'unsafe-eval' - разрешает использование функций вроде eval() или new Function().
• data: blob: - разрешает загрузку ресурсов из data URI (data:...) и Blob URI (blob:...).