CSP
- 指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。
- CSP的实质就是白名单制度,开发人员明确告诉客户端,哪些外部资源可以加载和执行。开发者只需要提供配置,实现和执行全部由浏览器完成。
启用CSP
- 通过HTTP相应头信息的Content-Security-Policy字段
- 通过网页标签
说明
- script-src脚本:只信任当前域名
- object-src:不信任任何URL,即不加载任何资源
- style-src样式表:只信任http://cdn.example.org和http://third-party.org
一、Low等级
1、漏洞分析
$headerCSP = "Content-Security-Policy: script-src 'self' https://pastebin.com example.com code.jquery.com https://ssl.google-analytics.com ;"; // allows js from self, pastebin.com, jquery and google analytics.
- 允许访问pastebin
2、漏洞利用
- 我们在pastebin网站上