CSP и встроенные стили из палитры цветов ⇐ CSS

[Anonymous]

Я использую CSP на своем веб-сайте, чтобы максимально заблокировать все. У меня на веб-сайте есть HTML-редактор, и я хотел, чтобы пользователи могли выбирать цвета текста из палитры цветов. Это предполагает добавление style="color:#XXXXXX" к затронутым элементам, где XXXXXX — это 24-битное значение из палитры цветов. Я временно использую style-src 'self' 'unsafe-inline' на своем тестовом оборудовании, чтобы разрешить использование встроенных стилей для определения цветов. Но это сделало бы меня уязвимым для атак путем внедрения CSS, если бы я сделал это в работающей системе.
Есть ли какой-нибудь способ надежно очистить CSS, чтобы обеспечить безопасное использование встроенных стилей в этой ситуации? или есть другой способ защитить встроенные стили, чтобы их мог определять только редактор (возможно, используя nonce, который я использую для добавления обработчиков событий JS к элементам HTML)?

Подробнее здесь: https://stackoverflow.com/questions/790 ... lor-picker