首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

CSP进阶-302 Bypass CSP

CSP真神奇,前段时间看了一篇国外的文章,导致有了新的体验,302不仅仅可以在ssrf中有特殊的表现,就连csp也可以,很强势 原文连接 漏洞 让我们逐步分析漏洞的成因 根据文章,首先我们意识到如果我们构造一个重定向...,就可以bypass CSP的域限制,在分析之前,我们先看一个测试页面 <?...被CSP拦截了 去掉外域的允许 将代码改为 <?...u=//xss.cc/myjs/a.js这句跳转到了外域xss.cc的myjs目录下,但是我们把外域下的CSP策略删除了。 结果是CSP仍然会追过去,被拦截了,什么都没发生。.../ 事实上如果想要避免这样的问题,我们需要紧缩csp中允许的范围,而最好的解决办法是禁用重定向,文档中关于重定向的文章在这里 https://www.w3.org/TR/CSP2/#source-list-paths-and-redirects

93630

CSP

然后**网页安全策略(CSP)**就出现了。 CSP CSP的本质是添加白名单,开发者告诉客户端,哪些外部资源可以加载执行,也就是添加白名单。客户端负责提供配置,实现执行全部都交给浏览器。...开启CSP之后,网页的安全性得到了极大的保障。 开启CSP有两种方式。一种是通过HTTP头信息的Content-Security-Policy字段,另一种是通过网页的meta标签。...'none'; style-src cdn.example.org third-party.org; child-src https:"> 开启之后,不符合CSP的外部资源就会被阻止加载。...CSP字段 CSP通过不同的字段限制不同类型的资源。...script-src:外部脚本 style-src:样式表 img-src:图像 media-src:音频视频 font-src:字体 object-src:插件 child-src:框架 frame-ancestors

1.9K11
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    web安全 - CSP

    CSP 全名 内容安全策略(Content Security Policy) 主要用来防御:XSS CSP 基本思路 定义外部内容引用的白名单 例如 页面中有个按钮,执行的动作源于 http:...//a.com/x.js,但如果被攻击的话,有可能执行的是 http://b.com/x.js 浏览器可以下载并执行任意js请求,而不论其来源 CSP 的作用就是创建一个可信来源的白名单,使得浏览器只执行来自这些来源的资源...默认策略,当其他各个特殊指令源没有赋值时,就按照该指令值,优先级最低 script-src 脚本来源,当default-src或者script-src二者有一个指定了值,那么inline script ...) font-src 控制网络字体的来源 frame-src 列出了可以嵌入的frame的来源( 元素) img-src 定义了可加载图像的来源 media-src...限制视频音频的来源( 元素) object-src 限制Flash其他嵌入对象的来源 style-src 类似于Script-src,只是作用于css文件

    1.5K70

    gif bypass CSP?

    前段时间看到了一个有趣的bypasscsp的文章,最开始是在html5sec上看到的 http://html5sec.org/#138 这里本来说的是关于link的import属性,但示例中却使用gif bypass了csp...原文 首先是原文 http://html5sec.org/cspbypass/ 我们看到作者的标题是CSP Bypass in Chrome Canary + AngularJS 并且如果你使用了chrome...href="test.gif" class="ng-scope"> */ 我们能看到3个请求 但是我们也能看到有部分被CSP...看上原理就如同所述的那样,但是在我的测试下实际情况demo中有一切区别 demo 我的测试环境 我们发现一切都是熟悉的,但是原本的那条会导致弹窗的出现了一条报错 Refused to execute...查了一下发现这里的报错大多都是由于X-Content-Type-Options这个头造成的,他通过查看响应中的content-type是不是与预期相符判断的,这里传入的test.gif MIME type为image/gif,预期的

    1.1K20

    嘿,前端的CSP & CSP如何落地,了解一下?

    通过随意设置响应头来测试CSP MDN文档 简单过一遍常见的指令 获取资源相关的指令 font-src frame-src img-src script-src media-src style-src...Content-Security-Policy: img-src a.b.c; script-src 'unsafe-inline' a.b.c; style-src 'self' 表示只能加载来自a.b.c域的图片、a.b.c域的脚本行内脚本...http: data:; style-src 'self' self 只能加载自身相同的域资源,其他如data:, blob:就不能了 unsafe-inline 行内,一般针对于stylescript...第二阶段 观察一段时间后,自己的上报站点如果有CSP报错,那么去解决掉,然后继续观察一段时间重复同样的步骤,直到没有CSP错误。...再回头翻翻网上那些经典的攻击手法案例,是不是可以防掉很多了。不过还是有办法破解的。。。前面说了用什么来调试来着?有想法的,评论区留下自己的想法或者方案,一起交流一下吧

    3K30

    CSP | Electron 安全

    >; 用分号分割多个策略,每个策略内部形式如下 指令名称 ; 指令名称很好理解,例如 img-src 是指图片图标的源地址限制... 等元素在加载 web worker 嵌套浏览上下文时的有效来源。...这不仅包括直接加载到 元素中的URL,还包括可以触发脚本执行的内联脚本事件处理程序(onclick) XSLT stylesheets 样式表。...在CSP中声明策略:如上所述,在CSP响应头中使用 trusted-types 指令列出允许使用的策略创建器名称。...其实是另外一层的安全策略,它同源策略独立的 0x05 CSP 绕过 其实没有什么绕过,无非就是配置得不是很合理或被允许的对象不安全,大家钻漏洞而已,没什么意思,但还是贴一些链接进来 当然,这里我还是要再强调一些

    41110

    CSP2021 游记

    又到了一年一度的CSP…… 初赛 Day -2 早上在学校颓whk,像我们学校怎么可能会搞集训呢……/kk 回家看了会算法书,然后去验核酸,准备考试…… (口区) Day -1 早上继续颓whk...……感谢各位老师送的作业( 今天晚上开始放中秋假,在洛谷有题上康题目……发现自己还是不太熟悉那些阅读程序题填代码题,瞬间慌了…… Day 1 上一年报了rm只拿了个复赛2=,还是不敢上tg……...: CSP-J(仅扫描件): Day ??...给€€£支付了260CNY…… Day -2 验核酸,正常whk… Day -1 晚上准备一下CSP… 好怕自己考场上一下子想不出怎么做…… Day 1 蒟蒻只报了J组…… 又一次来到了JZ。。。...原题预览 CSP2021 S2: CSP2021 J2: Day ??

    51910

    ASPASP.NET发送邮件笔记

    这两天因公司网站邮件发不出去,然后研究了在asp网站发送邮件和在asp.net网站发送邮件的代码,把碰到的问题这里记录一下。...1、先说在asp.net中发送邮件吧, 刚开始只有126邮箱可以发出邮件,然后其他163、新浪等发不出去,后来郁闷了很久才知道邮箱的smtppop3服务默认是不开通的,需要去手动开通才可以发送邮件。...toEmail = "5185185185@qq.com"; //要发送对象的邮箱地址 string emailName = fromEmail; //登陆邮箱的用户名,可以发件人邮箱地址一样...{ //发送失败:ex.Message; return; } //发送成功 } 2、然后使用asp...Set objMail.Configuration = objCDO objMail.From = "xmTan@126.com" '发件人,这里上面的发送邮件地址保持一致

    7.4K40

    三分钟掌握ActorCSP模型

    前文传送门:《三分钟掌握共享内存模型 Actor模型》, 一直想比较Actor模型与golang的CSP模型,经过一段时间的实战记录了本文。...Actor vs CSP模型 • 传统多线程的的共享内存(ShareMemory)模型使用lock,condition等同步原语来强行规定进程的执行顺序。...本文现在要记录的是另一种基于消息传递的并发模型:CSP(communicating sequential process顺序通信过程)。...在CSP模型,worker之间不直接彼此联系,强调信道在消息传递中的作用,不谋求形成流水线。...消息的发送者接受者通过该信道松耦合,发送者不知道自己消息被哪个接受者消费了,接受者也不知道是从哪个发送者发送的消息。 go的信道 go的信道[1]是golang协程同步通信的原生方式。

    54610

    基于 CSP 的设计思想 OOP 设计思想的异同

    Go语言推崇的CSP编程模型设计思想,并没有引起很多Go开发者包括Go标准库作者的重视。标准库的很多设计保留了很浓的OOP的味道。本篇Blog想比较下从设计的角度看,CSPOOP到底有什么区别。...在遇到具有共性的点的时候,CSP是多用装饰器桥接器,把系统中的共性用函数的参数表达出来。...无论OOP/FP/CSP/Actor模型,都是可以相互转换、替换实现。...但是CSP则提供了异步的非阻塞消息机制,以及自动上下文保存的可中断函数(也就是协程)。这些机制使得CSP的动力驱动简单高效。...在可变性方面,OOP的合约是由接口结构体来约束的,而CSP的合约是由函数签名闭包的upvalues来约束的。函数的参数返回值可以都是空,只用upvalues来隐式表达约束。

    1.3K40

    内容安全策略( CSP )

    的主要目标是减少报告 XSS 攻击 ,XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。...一个CSP兼容的浏览器将会仅执行从白名单域获取到的脚本文件,忽略所有的其他脚本 (包括内联脚本HTML的事件处理属性)。 作为一种终极防护形式,始终不允许执行脚本的站点可以选择全面禁止脚本执行。...比如一个可以上传文件显示图片页面,应该允许图片来自任何地方,但限制表单的action属性只可以赋值为指定的端点。一个经过恰当设计的内容安全策略应该可以有效的保护页面免受跨站脚本攻击。...多媒体文件仅允许从 media1.com media2.com 加载(不允许从这些站点的子域名)。 可运行脚本仅允许来自于userscripts.example.com。...blocked-uri 被CSP阻止的资源URI。如果被阻止的URI来自不同的源而非文档URI,那么被阻止的资源URI会被删减,仅保留协议,主机端口号。

    3.2K31

    如何使用CORSCSP保护前端应用程序安全

    通过正确实施CORSCSP,我们可以加固前端应用程序,保持领先,抵御潜在威胁。 本文的目的范围 在本文中,我们深入探讨了CORSCSP,为您揭开了这些安全措施的神秘面纱。...所以,如果你渴望保护你的用户并加强你的应用程序的安全性,让我们卷起袖子,深入了解CORSCSP的世界。你的应用程序用户会感谢你的!让我们开始吧! CORSCSP是什么? 让我们从基础知识开始。...结合CORSCSP 既然我们已经装备了CORSCSP,现在是时候发挥它们的综合力量,为我们的前端应用程序创建一个坚不可摧的堡垒了!...测试调试 作为前端应用安全的守护者,我们必须彻底测试调试我们的CORSCSP配置,以确保其有效性。让我们探索一些工具技术来应对这个关键任务!...测试CORSCSP配置的工具技术 Browser Developer Tools:现代浏览器提供强大的开发者工具,可以在控制台网络选项卡中显示CSP违规情况。

    52710
    领券