xtermjs/xterm.js

Latest version requires unsafe-inline due to inline styles

Open

#4.445 aberto em 23 de mar. de 2023

Ver no GitHub
 (21 comments) (1 reaction) (0 assignees)TypeScript (1.574 forks)batch import
help wantedtype/enhancement

Métricas do repositório

Stars
 (16.196 stars)
Métricas de merge de PR
 (Mesclagem média 4d 3h) (81 fundiu PRs em 30d)

Description

Content Security Policies need to be set to 'unsafe-inline' to work with xterm.js. Older versions didn't use inline styles so this wasn't an issue.

Ideally xterm should stop using inline styles or support a user-provided nonce value that can be set in the CSP. See https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/style-src

Details

  • Browser and browser version: all
  • OS version: all
  • xterm.js version: 5.1.0

Steps to reproduce

  1. Set a content security policy like "style-src 'self';"
  2. Make an xterm that has a resizable container
  3. Resizing causes CSP errors in the console.
  4. Resizing doesn't work properly

Guia do colaborador

Direção de pesquisa
Investigar onde os estilos inline são injetados no xterm.js, provavelmente no pipeline de renderização. Revisar a abordagem de nonce CSP e considerar modificar a injeção de estilo para suportar um atributo nonce fornecido pelo usuário. Verificar os comentários existentes para quaisquer soluções propostas ou alternativas rejeitadas. Consulte a discussão na issue #4445.
Pilha de tecnologia
typescriptcssjavascript
Domain
frontendsecurity
Tipo Issue
Segurança
DifficultyDificuldade de implementação estimada para um novo contribuidor, de 1 para alterações muito pequenas a 5 para trabalho de nível especializado.
3
Tempo estimadoUm intervalo de tempo aproximado para um colaborador experiente investigar, implementar, testar e preparar um pull request.
1-2 dias
Status da atividadeQuão disponível o issue aparece agora: novo, ativo, obsoleto, bloqueado ou aguardando entrada do mantenedor.
Antigo
ClarityCom que clareza o issue explica a mudança esperada, os critérios de aceitação e a próxima etapa.
Claro
Prerequisites
Content Security Policy basicsxterm.js style injection mechanismNonce attribute support
Simpatia para novatosUma pontuação de 1 a 100 que estima o quão acessível este issue é para colaboradores iniciantes.
40