Google chrome 如何绕过Chrome';s XSS auditor对内容安全策略的误报?
Google Chrome XSS Auditor中存在一个已知的文本区域,其中包含一些js ish文本,例如Google chrome 如何绕过Chrome';s XSS auditor对内容安全策略的误报?,google-chrome,http-headers,xss,content-security-policy,Google Chrome,Http Headers,Xss,Content Security Policy,Google Chrome XSS Auditor中存在一个已知的文本区域,其中包含一些js ish文本,例如action=“”: XSS Auditor拒绝在“”中执行脚本,因为在请求中找到了其源代码。由于服务器既不发送“X-XSS-Protection”也不发送“Content Security Policy”标头,因此启用了审核程序 错误消息表示可以使用X-XSS-Protection-头或内容安全策略-头解决此问题。实际上,建议使用头禁用XSS保护(“X-XSS-Protection:0
action=“”X-XSS-Protection内容安全策略头禁用XSS保护(“X-XSS-Protection:0”)
但是,我对简单地停用XSS保护感到有些不安,并尝试使用内容安全策略来处理此问题
header('Content-Security-Policy: script-src * \'unsafe-inline\' \'unsafe-eval\'');
但不幸的是,这并没有影响到问题的解决
我的问题是:为什么失败?我如何使用内容安全策略
-头来处理问题,而不完全停用XSS保护?
注:参考另见
为什么失败?我如何使用内容安全策略头
在不完全停用XSS保护的情况下处理问题
它不起作用,因为您允许不安全的内联
显式允许不安全的内联比通过X-XSS-protection
禁用XSS保护更糟糕,因为前者可以进行存储的XSS攻击(与锁定的CSP相比),而后者对它们没有影响
解决方法-根据链接的帖子,通过禁止不安全
指令或完全禁用XSS保护来实现安全CSP
前者是更理想的选择,但是您可能需要重新设计页面或站点,这取决于您是否使用了内联JavaScript。如果您将所有JS移动到外部文件中,这将使这成为可能,并且您将拥有一个更安全的系统
为什么失败?我如何使用内容安全策略头
在不完全停用XSS保护的情况下处理问题
它不起作用,因为您允许不安全的内联
显式允许不安全的内联比通过X-XSS-protection
禁用XSS保护更糟糕,因为前者可以进行存储的XSS攻击(与锁定的CSP相比),而后者对它们没有影响
解决方法-根据链接的帖子,通过禁止不安全
指令或完全禁用XSS保护来实现安全CSP
前者是更理想的选择,但是您可能需要重新设计页面或站点,这取决于您是否使用了内联JavaScript。如果您将所有的JS移动到外部文件,这将使这成为可能,因此您将拥有一个更安全的系统。您可以做一些愚蠢的事情,比如base64在发送数据之前对数据进行编码,也许?您可以做一些愚蠢的事情,比如base64在发送数据之前对数据进行编码,也许?