DVWA CSP low 响应失败原因

已于 2022-09-13 20:45:41 修改
阅读量1.1k 收藏
点赞数 1
分类专栏: 网络安全 文章标签: 前端 网络安全
于 2022-09-13 20:31:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56313338/article/details/126839924
版权
博客探讨了在加载JS代码时遇到的问题,由于X-Content-Type-Options:nosniff安全头部导致浏览器拒绝执行非匹配MIME类型的脚本。文章详细解释了该安全头部如何阻止text/plain类型的Content-Type与script标签默认的text/javascript类型匹配,从而引发错误。作者寻求解决绕过此安全限制的方法。
摘要由CSDN通过智能技术生成

原本这题是通过控制CSP允许的域名从而进行加载其中的js代码的

 其他文章差不多都是填这个链接就可以插入js代码

但是我做这题的时候发现

运行不起来?

 浏览器这里并没有进行响应

但是发现了浏览器报了个错

 because its MIME type ('text/plain') is not executable, and strict MIME type checking is enabled.

翻译一下大概是

因为它的MIME类型('text/plain')不可执行,并且启用了严格MIME类型检查。

于是网上查了一波资料发现是因为有了这个响应头

X-Content-Type-Options: nosniff

安全头部X-Content-Type-Options: nosniff 遇到了格式不正确的Content-Type格式

也就是说如果加上了这个响应头我们script标签的type属性需要和Content-Type类型一致才行

这里的Content-Type类型是text/plain,而script标签默认text/javascript

MIME类型无法对应从而浏览器报错了,而且浏览器也自动过滤了该响应

如果这样的话我一下就没了思路

不知道有没有大佬知道怎么绕过了..

bug小空
关注
专栏目录
DVWA-low通关
Akihi0718的博客
07-19 541
DVWA-low通关
DVWA-CSP绕过内容安全策略
原味瓜子、的博客
09-25 530
文章目录CSP一、Low等级二、medium等级三、High等级四、Impossible等级 CSP 指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。 CSP的实质就是白名单制度,开发人员明确告诉客户端,哪些外部资源可以加载和执行。开发者只需要提供配置,实现和执行全部由浏览器完成。 启用CSP 通过HTTP相应头信息的Content-Security-Policy字段 通过网页标签 说明 script-src脚本:只信任当前域名 object-src:不
dvwa靶场 Content Security Policy (CSP) Bypass(CSP绕过)全难度教程(附代码分析)
最新发布
m0_73248913的博客
05-14 1093
Content Security Policy(内容安全策略),用于定义脚本和其他资源从何处加载或者执行,总结的来说就时白名单。会一定程度的缓解xss脚本问题,也可以自己设定规则,管理网站允许加载的内容。CSP 以的机制对网站加载或执行的资源起作用,在网页中策略通过 HTTP 头信息或者 meta 元素定义。CSP 虽然提供了强大的安全保护,但是它也令 eval() 及相关函数被禁用、内嵌的 JavaScript 代码将不会执行、只能通过白名单来加载远程脚本。
页面报错because its MIME type (‘text/plain‘) is not executable, and strict MIME type checking is enabled
xiexinxx0225的博客
06-07 2万+
啊 jsp页面报错MIME类型错误 , 意思是ajax.js响应的是MIME type ('text/plain'),纯文本类型 , 但是页面解析的是html类型 , 所以报错类型不匹配。 解决办法: 首先观察Tomcat响应浏览器请求时的HTTP头部,是否开启了头部安全协议:HTTP协议安全头部X-Content-Type-Options ...
chrome出现MIME type is not executable
行走的IT
03-16 3万+
chrome出现MIME type is not executable 错误信息: because its MIME type ('text/plain') is not executable, and strict MIME type checking is enabled. 情景: 在一个页面动态引入github上的js文件。 问题原因:github动态加载js文件时返回co
【Django】because its MIME type (‘text/html‘) is not executable, and strict MIME type checking is enab
winrh的博客
11-30 2万+
报错内容 because its MIME type ('text/html') is not executable, and strict MIME type checking is enabled. 问题分析 静态文件被当成接口请求了,需要在middleware类中处理跳转问题,当包含static关键字时允许继续。(因为我的静态文件的路径就是以static开头的,如/static/js/admin.js) 如果还不行,则可能是文件不存在,复制静态文件所在的包,目录名改为static。...
DVWA —— Content Security Policy (CSP 内容安全策略) Bypass
YouTheFreedom的博客
05-26 1240
CSP全称是: Content-Security-Policy, 内容安全策略。 是指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。主要是为了缓解潜在的跨站脚本问题(XSS),浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻时,主要采用函数过滤转义输入中的特殊字符、标签、文本来规避攻击。CSP的实质就是白名单制度,开发人员明确告诉客户端,哪些外部资源可以加载和执行。开发者只需要提供配置,实现和执行全部由浏览器完成。
SQL学习之路--DVWA等级LOW
m0_69555575的博客
06-17 544
一名想进入安全行业的普通青年
XSS漏洞DVWA靶场LOW级别演示举例
2301_77185537的博客
12-23 387
alert("你的网站被我利用了")
DVWA_暴力破解low等级攻略
Keiltest的博客
07-13 1212
是一个与刚入门计算机的同伴互相探讨相互请教的资源
【because its MIME type (‘text/html‘) is not a supported 报错原因与解决】
weixin_43727933的博客
12-05 1万+
because its MIME type (‘text/html’) is not a supported stylesheet MIME type, and strict MIME checking is enabled 报错原因与解决
because its MIME type (‘application/x-js‘) is not executable, and strict MIME type checking is enab
xi_xi_wo的博客
07-23 2338
导入Django项目运行程序,其中一个页面报如下错误 (index):1 Refused to execute script from ‘http://xxxxxx/js/keyword_h.js’ because its MIME type (‘application/x-js’) is not executable, and strict MIME type checking is enabled. 因为其MIME类型(“application/x-js”)不可执行,并且启用了严格的MIME类型检查.
because its MIME type ('text/html') is not executable, and strict MIME type checking is enabled.
yyo201的博客
08-11 4万+
webgl demo 的时候总是提示这个,完全找不到错误原因在哪。 google 里说是什么 (检测保护)反正就是不太看的懂,后面想起来 script 引入three.js 的引入方式是有要求的, 不能是/js/three.js 具体看文档吧,改成 <script type="text/javascript" src="../js/three.js"></script&g...
Refused to Execute Script From Because Its MIME Type (Text/plain) Is Not Executable, and Strict MIME...
技术小黑屋
09-27 1113
今天又与这个问题相遇了,Orz,还是研究一下解决方法和出现原因吧。 刚刚在github上传了一个js文件,想让这个文件被其他网页引用,于是贴出了这个文件的raw版本的地址。但是却就遇到了这样的问题。 这就是出现错误的代码 1 2 3 4 5 6 7 <html> <script src="http://droidyue-tools.qiniudn.com/jqu...
Nginx动静分离、URLRwrite、防盗链及Https证书配置
一个非常Cool的人
11-16 530
本文主要介绍Nginx中的动静分离配置,利用URLRwrite隐藏URL内部细节,Nginx中如何配置防盗链,以及如何配置Https证书,本篇博客的操作均是针对虚拟机内的机器。
ng 部署环境静态文件加载失败 (MIME type)
yanglangdan的博客
08-06 1522
##由于最近在部署 CI 的项目,静态的 css 一直没有生效,导致部分格式错误 具体错误提示为: Error: The stylesheet http://example.com/style.css was not loaded because its MIME type, "text/html", is not "text/css". 错误原因: httpHeader Content-Type没有指定文件类型 解决方式: 1. 查看 nginx.conf 文件中,htt...
because its MIME type ('application/octet-stream') is not executable, and strict MIME type checking
weixin_40215561的博客
06-01 6877
今天写Web作业,在建立浏览器本地数据库的时候 突然报了这样的一个错误。 index.html:1 Refused to execute script from 'http://localhost:63342/WebWork/HomeWork/Lab15/js/table_present' because its MIME type ('application/octet-stream') i...
生产环境浏览器Strict MIME TYPE Checking问题解决
热门推荐
皖南笑笑生的博客
08-10 6万+
X-Content-Type-Options: nosniff 与 不规范的响应类型 造成的影响
its MIME type ('text/html') is not executable, and strict MIME type checking is enabled(非404)
大猴子
01-08 1万+
新项目导入资源时产生下面报错:来自“http://127.0.0.1:8089/login/login”的资源已被阻止,因为 MIME 类型不匹配(X-Content-Type-Options: nosniff)Refused to execute script from 'http://127.0.0.1:8089/js/bootstrap.js' because its MIME type ('
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值