Когда в проекте стоит использовать CSP, а когда лучше выбрать другой подход?

AngularMiddle+SecurityТеорияangularsecuritycspmiddleplus

Что хотят услышать интервьюеры:

CSP — это Content Security Policy снижает риск XSS и контролирует источники ресурсов.

Ответ:

Использовать стоит: когда задача действительно требует этого механизма и есть понятный контракт использования.

Лучше не использовать: когда простое состояние, обычный компонент или сервис решают задачу проще.

Пример: 

this.sanitizer.bypassSecurityTrustHtml(value) // только при доверенном источнике

Риск: добавлять unsafe-inline без необходимости.

Источники

Похожие вопросы

Security Что такое CSP в Angular и зачем это используют? Security Когда в проекте стоит использовать JWT storage, а когда лучше выбрать другой подход? Security Что такое JWT storage в Angular и зачем это используют? Security Когда в проекте стоит использовать clickjacking, а когда лучше выбрать другой подход?