通过将内容安全策略设置为default-src 'self' 是否可以100% 防止XSS?在这种情况下有什么方法可以发生 XSS 吗?我能想到的一种可能性是在服务器端将用户输入动态地注入(inject)到您的一个脚本中,您同意吗?您还能想到其他任何漏洞吗?
最佳答案
不,CSP 不是 Elixir 。它应该是一道防线,而不是整个防线。如果配置正确,它可以提供帮助
- 防止可用的 XSS,其中有效载荷(无论是持久的还是反射的)必须很小,因此通常只会创建一个脚本元素并注入(inject)外部代码
- 避免数据提取和滥用作为攻击其他网站的平台。根据您的应用程序的工作方式,访问您的后端服务可能足以提取数据,例如,如果您的用户可以写博客帖子,攻击者可以创建一个包含它需要提取的数据的新帖子,等待数据的信号已被抓取(例如通过评论)并再次删除该帖子,所有这些都无需与外部服务器通信。
关于javascript - XSS - 内容安全策略,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38999740/