XSS进阶之CSP绕过

预备知识

1.了解Javascript、PHP和CSP的一些特性,比如“strict-dynamic”。
2.CSP:实质就是白名单制度,它规定哪些外部资源可以加载和执行。它的实现和执行全部由浏览器完成。资源加载通过“script-src”、“style-src”等选项来限制外部资源的加载。“script-src”限制外部脚本的加载,strict-dynamic特性允许将信任关系传递给由受信任的script动态生成的脚本,忽略了script-src的白名单,使得之后生成的脚本可以执行。
在这里插入图片描述

实验目的

1.理解xss工作原理。
2.了解ajaxify框架的特殊语法。
3.了解CSP的一些特性。
4.怎么根据ajaxify框架和CSP的特性去实现xss。
5.培养学生的独立思考能力。

实验环境

浏览器/服务器环境:
服务器配置:apache+php。
使用浏览器打开实验网址(http://localhost),可以看到实验练习系统。

实验步骤一

本实验分为三个任务。
CSP POC部分代码:
在这里插入图片描述
打开桌面上的Sublime可以查看相关代码:

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值