xtermjs/xterm.js

Latest version requires unsafe-inline due to inline styles

Open

#4.445 geöffnet am 23. März 2023

Auf GitHub ansehen
 (21 Kommentare) (1 Reaktion) (0 zugewiesene Personen)TypeScript (1.574 Forks)batch import
help wantedtype/enhancement

Repository-Metriken

Stars
 (16.196 Stars)
PR-Merge-Metriken
 (Durchschn. Merge 4T 3h) (81 gemergte PRs in 30 T)

Beschreibung

Content Security Policies need to be set to 'unsafe-inline' to work with xterm.js. Older versions didn't use inline styles so this wasn't an issue.

Ideally xterm should stop using inline styles or support a user-provided nonce value that can be set in the CSP. See https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/style-src

Details

  • Browser and browser version: all
  • OS version: all
  • xterm.js version: 5.1.0

Steps to reproduce

  1. Set a content security policy like "style-src 'self';"
  2. Make an xterm that has a resizable container
  3. Resizing causes CSP errors in the console.
  4. Resizing doesn't work properly

Contributor Guide

Research-Richtung
Untersuchen Sie, wo Inline Stile in xterm.js eingefügt werden, wahrscheinlich im Rendering Pipeline. Überprüfen Sie den CSP Nonce Ansatz und erwägen Sie, die Stileinfügung zu ändern, um ein vom Benutzer bereitgestelltes Nonce Attribut zu unterstützen. Überprüfen Sie die vorhandenen Kommentare auf vorgeschlagene Lösungen oder abgelehnte Alternativen. Siehe die Diskussion in Issue #4445.
Tech Stack
typescriptcssjavascript
Domain
frontendsecurity
Issue Type
Sicherheit
SchwierigkeitGeschätzte Implementierungsschwierigkeit für neue Contributors, von 1 für sehr kleine Änderungen bis 5 für Expertenarbeit.
3
Geschätzte ZeitEin grober Zeitrahmen, um zu recherchieren, zu implementieren, zu testen und einen Pull Request vorzubereiten.
1-2 Tage
AktivitätsstatusWie verfügbar das Issue gerade wirkt: frisch, aktiv, stale, blockiert oder wartet auf Maintainer-Input.
Veraltet
KlarheitWie klar das Issue die erwartete Änderung, Akzeptanzkriterien und den nächsten Schritt erklärt.
Klar
Voraussetzungen
Content Security Policy basicsxterm.js style injection mechanismNonce attribute support
EinsteigerfreundlichkeitEin Score von 1 bis 100, der schätzt, wie zugänglich dieses Issue für First-Time Contributors ist.
40