javascript - XSS - 内容安全策略

标签 javascript security xss content-security-policy

通过将内容安全策略设置为default-src 'self' 是否可以100% 防止XSS?在这种情况下有什么方法可以发生 XSS 吗?我能想到的一种可能性是在服务器端将用户输入动态地注入(inject)到您的一个脚本中,您同意吗?您还能想到其他任何漏洞吗?

最佳答案

不,CSP 不是 Elixir 。它应该是一道防线,而不是整个防线。如果配置正确,它可以提供帮助

  • 防止可用的 XSS,其中有效载荷(无论是持久的还是反射的)必须很小,因此通常只会创建一个脚本元素并注入(inject)外部代码
  • 避免数据提取和滥用作为攻击其他网站的平台。根据您的应用程序的工作方式,访问您的后端服务可能足以提取数据,例如,如果您的用户可以写博客帖子,攻击者可以创建一个包含它需要提取的数据的新帖子,等待数据的信号已被抓取(例如通过评论)并再次删除该帖子,所有这些都无需与外部服务器通信。

关于javascript - XSS - 内容安全策略,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38999740/

上一篇:javascript - 如何对将自己的创建封装在静态函数中的 javascript ES6 类进行单元测试?

下一篇:javascript - 我将如何遍历一组 JS 对象并为每个对象打印一条语句?

相关文章:

javascript - 只要我确保将所有 & 替换为 & 然后将所有 < 替换为 <,XSS 如何工作?

javascript - Js 文件作为 cypress 中的夹具未加载

r - 保护对闪闪发光的应用程序的访问

javascript - 在我的案例中如何检测 div 冲突?

sql-server - 当服务器不受您控制时,存储过程是个好主意吗?

java - BigDecimal 是可扩展的并且没有复制构造函数。这有安全风险吗?

javascript - XSS - 可以通过删除 "<"来清理用户输入吗?

ajax - 当试图将一个网站与另一个网站集成时,该怎么做? iframe 还是拉取内容?

Javascript( typescript )Chrome 扩展,函数回调如 promise ?

javascript - Jquery 多个 div 切换

©2024 IT工具网  联系我们