xtermjs/xterm.js

Latest version requires unsafe-inline due to inline styles

Open

#4445 aperta il 23 mar 2023

Vedi su GitHub
 (21 commenti) (1 reazione) (0 assegnatari)TypeScript (1574 fork)batch import
help wantedtype/enhancement

Metriche repository

Star
 (16.196 star)
Metriche merge PR
 (Merge medio 4g 3h) (81 PR mergiate in 30 g)

Descrizione

Content Security Policies need to be set to 'unsafe-inline' to work with xterm.js. Older versions didn't use inline styles so this wasn't an issue.

Ideally xterm should stop using inline styles or support a user-provided nonce value that can be set in the CSP. See https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/style-src

Details

  • Browser and browser version: all
  • OS version: all
  • xterm.js version: 5.1.0

Steps to reproduce

  1. Set a content security policy like "style-src 'self';"
  2. Make an xterm that has a resizable container
  3. Resizing causes CSP errors in the console.
  4. Resizing doesn't work properly

Guida contributor

Direzione di ricerca
Indagare dove vengono iniettati gli stili in linea in xterm.js, probabilmente nella pipeline di rendering. Rivedere l'approccio CSP nonce e considerare di modificare l'iniezione degli stili per supportare un attributo nonce fornito dall'utente. Controllare i commenti esistenti per eventuali soluzioni proposte o alternative rifiutate. Vedere la discussione nell'issue #4445.
Tech stack
typescriptcssjavascript
Dominio
frontendsecurity
Tipo issue
Sicurezza
DifficoltàQuanto dovrebbe essere impegnativa per un nuovo contributor.
3
Tempo stimatoTempo stimato per completare e verificare uno scope piccolo.
1-2 giorni
Stato attivitàQuanto è probabile che la issue sia ancora attiva e reviewable.
Datata
ChiarezzaQuanto chiaramente la issue descrive problema, scope e risultato atteso.
Chiara
Prerequisiti
Content Security Policy basicsxterm.js style injection mechanismNonce attribute support
Adatta ai principiantiQuanto la issue è adatta a contributor alla prima esperienza.
40