xtermjs/xterm.js

Latest version requires unsafe-inline due to inline styles

Open

#4,445 opened on 2023年3月23日

GitHub で見る
 (21 comments) (1 reaction) (0 assignees)TypeScript (16,196 stars) (1,574 forks)batch import
help wantedtype/enhancement

説明

Content Security Policies need to be set to 'unsafe-inline' to work with xterm.js. Older versions didn't use inline styles so this wasn't an issue.

Ideally xterm should stop using inline styles or support a user-provided nonce value that can be set in the CSP. See https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/style-src

Details

  • Browser and browser version: all
  • OS version: all
  • xterm.js version: 5.1.0

Steps to reproduce

  1. Set a content security policy like "style-src 'self';"
  2. Make an xterm that has a resizable container
  3. Resizing causes CSP errors in the console.
  4. Resizing doesn't work properly

コントリビューターガイド

技術スタック
typescriptcssjavascript
領域
frontendsecurity
Issue 種別
security
難度新しい貢献者にとっての実装難度です。1 は非常に小さな変更、5 は専門的な作業です。
3
推定時間経験ある貢献者が調査、実装、テスト、pull request 準備にかけるおおよその時間範囲です。
1-2 days
活動状況Issue が今どれだけ取り組みやすいかを示します。新しい、活発、古い、ブロック中、またはメンテナー入力待ちなどです。
stale
明確さ期待される変更、受け入れ条件、次の手順がどれだけ明確かを示します。
clear
前提条件
Content Security Policy basicsxterm.js style injection mechanismNonce attribute support
初心者向け度初回貢献者にどれだけ取り組みやすいかを 1-100 で推定したスコアです。
40
調査方針
Investigate where inline styles are injected in xterm.js, likely in the rendering pipeline. Review the CSP nonce approach and consider modifying style injection to support a user provided nonce attribute. Check the existing comments for any proposed solutions or rejected alternatives. See the issue #4445 for discussion.