1.CSP(Content Security Policy 内容安全策略)
内容安全策略是一种可信白名单机制,来限制网站中是否可以包含某来源内容。
该制度明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单,
它的实现和执行全部由浏览器完成,开发者只需提供配置。
禁止加载外域代码,防止复杂的攻击逻辑。
禁止外域提交,网站被攻击后,用户的数据不会泄露到外域。
禁止内联脚本执行(规则较严格,目前发现 GitHub 使用)。
禁止未授权的脚本执行(新特性,Google Map 移动版在使用)。
合理使用上报可以及时发现XSS,利于尽快修复问题。
实验:
开启CSP时XSS的加载情况(cookie以及外部上传的图片不能被打开,以及阻止跨站)
未开启CSP时XSS的加载情况(成功xss)
绕过:有但鸡肋
https
标签:XSS,跨站,WEB,xss,x0061,alert,&#,https From: https://www.cnblogs.com/TNpiper/p/18568929