DVWA CSP low 响应失败原因

已于 2022-09-13 20:45:41 修改
阅读量1k 收藏
点赞数 1
分类专栏: 网络安全 文章标签: 前端 网络安全
于 2022-09-13 20:31:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56313338/article/details/126839924
版权

原本这题是通过控制CSP允许的域名从而进行加载其中的js代码的

 其他文章差不多都是填这个链接就可以插入js代码

但是我做这题的时候发现

运行不起来?

 浏览器这里并没有进行响应

但是发现了浏览器报了个错

 because its MIME type ('text/plain') is not executable, and strict MIME type checking is enabled.

翻译一下大概是

因为它的MIME类型('text/plain')不可执行,并且启用了严格MIME类型检查。

于是网上查了一波资料发现是因为有了这个响应头

X-Content-Type-Options: nosniff

安全头部X-Content-Type-Options: nosniff 遇到了格式不正确的Content-Type格式

也就是说如果加上了这个响应头我们script标签的type属性需要和Content-Type类型一致才行

这里的Content-Type类型是text/plain,而script标签默认text/javascript

MIME类型无法对应从而浏览器报错了,而且浏览器也自动过滤了该响应

如果这样的话我一下就没了思路

不知道有没有大佬知道怎么绕过了..

bug小空
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kali2021.3安装dvwa靶场
02-24
适用人群:刚刚学习kali的爱好者 dvwa是一个入门web渗透的典型靶场,有的朋友喜欢安装到kali机里,所以我编辑了这个教程供朋友们参考,亲自验证有效的!!!
because its MIME type ('text/html') is not executable, and strict MIME type checking is enabled.
weixin_30824599的博客
07-18 1871
是由于header 中加了 X-Content-Type-Options:nosniff 导致的 spring 框架 出现这个错误,是未给js文件授权用户访问造成的 转载于:https://www.cnblogs.com/orziii/p/7200195.html...
DVWA Installation
08-15
DVWA all package. DVWA-master.zip
DVWA通关手册.docx
08-19
文档内部包含DVWA平台,所有类型漏洞低中高等级的攻击过程,非常仔细。也有部分自己的攻击方法,值得一试。
DVWA-master.7z 压缩包
09-14
下载到本地,解压缩之后,重命名为DVWA,并将其放在PHPstudy的WWW目录下
页面报错because its MIME type (‘text/plain‘) is not executable, and strict MIME type checking is enabled
xiexinxx0225的博客
06-07 2万+
啊 jsp页面报错MIME类型错误 , 意思是ajax.js响应的是MIME type ('text/plain'),纯文本类型 , 但是页面解析的是html类型 , 所以报错类型不匹配。 解决办法: 首先观察Tomcat响应浏览器请求时的HTTP头部,是否开启了头部安全协议:HTTP协议安全头部X-Content-Type-Options ...
Django项目中碰到because its MIME type (‘text/plain‘) is not executable,and strict MIME type该怎么解决?
shenbossed的博客
12-27 1万+
首先这是因为浏览器设置的原因导致的 一共可能出现两种错误 第一种错误是: Refused to display ‘http://localhost:8000/cdny/student_manage/’ in a frame because it set ‘X-Frame-Options’ to ‘deny’. 解决方法: 在settings.py中加一条配置: X_FRAME_OPTIONS = 'SAMEORIGIN' # DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中
解决because its MIME type (‘text/plain‘) is not executable, and strict MIME type checking is enabled
最新发布
泗水长流的博客
11-28 2930
今天用springboot做了一个接口,返回一个js调用的数据,js使用以下的调用方式: 或者 接口方法如下: 浏览器直接调用接口返回结果如下: 但是当我用上面的js调用时,错误出现了: 没有数据返回,查看详细信息:由于我这个功能主要是做微信分享的,所以我在微信开发者工具里面也试一下,结果如下: 这里微信的开发者工具给了我误导,让我一直认为是跨域造成的。可是我本身springboot已经解决了跨域问题啊,不论我怎么测试,也没有发现服务存在跨域问题。况且浏览器也没有明确有错误说出现了跨域问题,所以果断放弃了
【odoo10】Refused to execute script from '*' because its MIME type ('text/plain') is not executable
quanwei132的博客
01-03 1万+
软件环境:window10编译环境:python2.7.9,pycharm4.5.3 ,nodejs6.9问题描述:当开发环境搭建成功,启动odoo9或者odoo10后(已创建数据库),登陆访问报错如下web:1 Refused to execute script from '*/web.assets_common.js' because its MIME type ('text/plain') ...
chrome出现MIME type is not executable
热门推荐
行走的IT
03-16 3万+
chrome出现MIME type is not executable 错误信息: because its MIME type ('text/plain') is not executable, and strict MIME type checking is enabled. 情景: 在一个页面动态引入github上的js文件。 问题原因:github动态加载js文件时返回co
DVWA-master.zip
01-04
DVWA-master.zip
DVWA关卡12:Content Security Policy (CSP) Bypass(存储型XSS)
m0_54899775的博客
12-12 1217
DVWA关卡12:Content Security Policy (CSP) Bypass(存储型XSS)
DVWA —— Content Security Policy (CSP 内容安全策略) Bypass
YouTheFreedom的博客
05-26 845
CSP全称是: Content-Security-Policy, 内容安全策略。 是指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。主要是为了缓解潜在的跨站脚本问题(XSS),浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻时,主要采用函数过滤转义输入中的特殊字符、标签、文本来规避攻击。CSP的实质就是白名单制度,开发人员明确告诉客户端,哪些外部资源可以加载和执行。开发者只需要提供配置,实现和执行全部由浏览器完成。
DVWA-内容安全策略绕过
weixin_58954236的博客
10-08 132
​ 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,是一种用于增强网页的安全性的安全策略机制。它可以帮助网站管理员减轻跨站脚本攻击(XSS)和数据注入等攻击的风险。CSP 工作原理是通过定义和实施一组安全策略规则,限制网页中可以加载和执行的内容源和类型。​ 然而,CSP 可能会存在绕过(bypass)的风险,这通常被称为 CSP Bypass。
【Django】because its MIME type (‘text/html‘) is not executable, and strict MIME type checking is enab
winrh的博客
11-30 2万+
报错内容 because its MIME type ('text/html') is not executable, and strict MIME type checking is enabled. 问题分析 静态文件被当成接口请求了,需要在middleware类中处理跳转问题,当包含static关键字时允许继续。(因为我的静态文件的路径就是以static开头的,如/static/js/admin.js) 如果还不行,则可能是文件不存在,复制静态文件所在的包,目录名改为static。...
引入CSS出现because its MIME type ('text/plain') is not executable错误
qq_38243612的博客
02-15 1万+
错误提示:Refused to execute script from 'xxxx' because its MIME type ('text/plain') is not executable, and strict MIME type checking is enabled. 情况:引入上传在github的CSS、JS文件,无法显示样式,开发者模式(F12)显示Refused to exec...
【because its MIME type (‘text/html‘) is not a supported 报错原因与解决】
weixin_43727933的博客
12-05 1万+
because its MIME type (‘text/html’) is not a supported stylesheet MIME type, and strict MIME checking is enabled 报错原因与解决
because its MIME type (‘application/x-js‘) is not executable, and strict MIME type checking is enab
xi_xi_wo的博客
07-23 2001
导入Django项目运行程序,其中一个页面报如下错误 (index):1 Refused to execute script from ‘http://xxxxxx/js/keyword_h.js’ because its MIME type (‘application/x-js’) is not executable, and strict MIME type checking is enabled. 因为其MIME类型(“application/x-js”)不可执行,并且启用了严格的MIME类型检查.
dvwa low 超详细原理教学
06-10
DVWA(Damn Vulnerable Web Application)是一个用于演示Web应用程序漏洞的开源漏洞评估工具。它是一个PHP/MySQL应用程序,可在各种安全测试环境中使用。 DVWA有三个安全级别:低(low)、中等(medium)和高(high)。在低安全级别下,DVWA中存在以下漏洞: 1. Brute Force:通过弱密码猜测攻击登录系统。 2. Command Execution:通过输入特殊命令攻击服务器。 3. SQL Injection:通过输入特殊SQL语句攻击数据库。 4. XSS(Cross-Site Scripting):通过输入特殊脚本攻击用户浏览器。 5. File Inclusion:通过输入特殊文件路径攻击系统文件。 下面是DVWA低安全级别的详细漏洞原理教学: 1. Brute Force Brute Force攻击是一种暴力破解密码的攻击方法。攻击者使用自动化工具或脚本尝试不同的用户名和密码组合,直到找到正确的组合为止。 在DVWA中,Brute Force漏洞通过使用弱密码来攻击登录系统。在低安全级别下,DVWA使用默认用户名和密码admin/password。攻击者可以使用Burp Suite等工具进行Brute Force攻击并尝试不同的用户名和密码组合,直到找到正确的组合为止。 2. Command Execution Command Execution漏洞是一种攻击者可以通过输入特殊命令来执行远程系统命令的漏洞。在DVWA中,Command Execution漏洞通过使用特殊字符来攻击服务器。 在低安全级别下,DVWA中存在一个命令执行漏洞,攻击者可以在输入框中输入特殊字符(如;、&、|等),并通过执行系统命令来攻击服务器。 3. SQL Injection SQL Injection漏洞是一种攻击者可以通过输入特殊SQL语句来执行远程数据库操作的漏洞。在DVWA中,SQL Injection漏洞通过使用错误的输入验证来攻击数据库。 在低安全级别下,DVWA中存在一个SQL Injection漏洞,攻击者可以在输入框中输入特殊SQL语句,并通过执行SQL语句来攻击数据库。 4. XSS(Cross-Site Scripting) XSS漏洞是一种攻击者可以通过输入特殊脚本来攻击用户浏览器的漏洞。在DVWA中,XSS漏洞通过使用未经过滤的用户输入来攻击用户浏览器。 在低安全级别下,DVWA中存在一个XSS漏洞,攻击者可以在输入框中输入特殊脚本,并通过执行脚本来攻击用户浏览器。 5. File Inclusion File Inclusion漏洞是一种攻击者可以通过输入特殊文件路径来攻击系统文件的漏洞。在DVWA中,File Inclusion漏洞通过使用未经过滤的用户输入来攻击系统文件。 在低安全级别下,DVWA中存在一个File Inclusion漏洞,攻击者可以在输入框中输入特殊文件路径,并通过执行文件来攻击系统文件。 总之,DVWA是一个非常实用的漏洞评估工具,可以帮助安全人员了解各种Web应用程序漏洞的原理和防御方法。在使用DVWA进行漏洞测试时,一定要注意安全,并且不要在生产环境中使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值