xtermjs/xterm.js

Latest version requires unsafe-inline due to inline styles

Open

#4 445 ouverte le 23 mars 2023

Voir sur GitHub
 (21 commentaires) (1 réaction) (0 assignés)TypeScript (1 574 forks)batch import
help wantedtype/enhancement

Métriques du dépôt

Stars
 (16 196 stars)
Métriques de merge PR
 (Merge moyen 4j 3h) (81 PRs mergées en 30 j)

Description

Content Security Policies need to be set to 'unsafe-inline' to work with xterm.js. Older versions didn't use inline styles so this wasn't an issue.

Ideally xterm should stop using inline styles or support a user-provided nonce value that can be set in the CSP. See https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/style-src

Details

  • Browser and browser version: all
  • OS version: all
  • xterm.js version: 5.1.0

Steps to reproduce

  1. Set a content security policy like "style-src 'self';"
  2. Make an xterm that has a resizable container
  3. Resizing causes CSP errors in the console.
  4. Resizing doesn't work properly

Guide contributeur

Direction de recherche
Examiner où les styles en ligne sont injectés dans xterm.js, probablement dans le pipeline de rendu. Examiner l'approche CSP nonce et envisager de modifier l'injection de style pour prendre en charge un attribut nonce fourni par l'utilisateur. Vérifier les commentaires existants pour toute solution proposée ou alternative rejetée. Voir la discussion dans l'issue #4445.
Stack technique
typescriptcssjavascript
Domaine
frontendsecurity
Type d'issue
Sécurité
DifficultéDifficulté estimée pour un nouveau contributeur, de 1 pour un très petit changement à 5 pour un travail expert.
3
Temps estiméFourchette de temps approximative pour investiguer, implémenter, tester et préparer une pull request.
1-2 jours
Statut d'activitéDisponibilité apparente de l'issue : fraîche, active, ancienne, bloquée ou en attente d'un mainteneur.
Ancienne
ClartéClarté avec laquelle l'issue explique le changement attendu, les critères d'acceptation et la prochaine étape.
Claire
Prérequis
Content Security Policy basicsxterm.js style injection mechanismNonce attribute support
Accessibilité débutantScore de 1 à 100 estimant l'accessibilité de cette issue pour un premier contributeur.
40