作者derayke (德雷克)
看板Ajax
标题[问题] CSP现在无法防止javascript injection?
时间Fri Nov 13 16:24:40 2015
之前我在实作时有测试过CSP可以防止hacker inject javascript
可是昨日在测试时发现现在完全无法抓包javascript injection了,有人知道为什麽吗?
测试方法:
$("#id").append("<script>alert('xss')</script>");
先前结果:
CSP report
目前测试结果:
显示xss
CSP header:
Content-Security-Policy-Report-Only: default-src 'self'; img-src 'self' data:;
child-src 'none';object-src 'none'; script-src 'self' 'unsafe-eval';style-src'
self' 'unsafe-inline';report-uri csp_report;
请问大大CSP协定是不是有做什麽更动,因为Chrome跟Firefox的反应都一样,还是我哪里
写错了。。。
烦请大大指教
手机排版伤眼先抱歉><
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 101.14.114.36
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Ajax/M.1447403083.A.E8F.html
1F:推 othree: Report-Only 是不是只有通报,没有真的限制 11/13 22:53
2F:→ derayke: 是啊 只要有CSP report 才代表有抓到 但问题是他没report 11/14 02:56
3F:→ derayke: (没抓到JS injection) 所以就算拿掉report也不会挡 11/14 02:56