如果xss加载了但是没反应,可能是有CSP—内容安全策略——可以抓包看看有没有Content-Security-Policy
内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,明确告诉客户端(制定比较严格的策略和规则),来告诉浏览器什么是被授权执行的与什么是需要被禁止的。即使攻击者发现漏洞,但是它是没办法注入脚本的其被誉为专门为解决XSS攻击而生的神器。
简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。
使用 CSP
配置内容安全策略涉及到添加 Content-Security-Policy HTTP头部到一个页面,并配置相应的值,以控制用户代理(浏览器等)可以为该页面获取哪些资源。比如一个可以上传文件和显示图片页面,应该允许图片来自任何地方,但限制表单的action属性只可以赋值为指定的端点。一个经过恰当设计的内容安全策略应该可以有效的保护页面免受跨站脚本攻击。本文阐述如何恰当的构造这样的头部,并提供了一些例子。
制定策略
你可以使用 Content-Security-Policy HTTP头部 来指定你的策略,像这样:
Content-Security-Policy: policypolicy参数是一个包含了各种描述你的CSP策略指令的字符串。
描述策略
一个策略由一系列策略指令所组成,每个策略指令都描述了一个针对某个特定类型资源以及生效范围的策略。你的策略应当包含一个default-src策略指令,在其他资源类型没有符合自己的策略时应用该策略(有关完整列表查看default-src )。一个策略可以包含 default-src 或者 script-src (en-US) 指