目前,我在所有网站上都使用Modernizr,事实证明,由于其工作原理,它要求unsafe-inline允许使用样式。我已经不允许内联脚本和不安全评估脚本了。好奇允许内联样式存在哪些安全风险?
允许内联样式使您容易受到“其他XSS”的影响。跨站点样式攻击。
这里的想法是,在用户可以将样式属性注入文档中的任何地方,他们都可以按照自己的方式修改页面的外观。我将按照严重性的高低列出一些潜在的攻击:
第四个示例,尽管unsafe-inline您已确保您的其他CSP规则绝不允许任何类型的请求进入不可信或通配符域,但仍可以完全防止信息泄漏到外部域。但是,如果您错过在某处阻止样式属性的话,前三个总是可能的。
迈克·韦斯特(Mike West)在几年前为CSSConf做了很好的演讲,提供了更多示例。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句