- 综合排序
- 最热优先
- 最新优先
- 来自专栏Seebug漏洞平台
Bypass unsafe-inline mode CSP
0x05会提到),我们来看下面这条规则: Content-Security-Policy: default-src 'self'; script-src 'self' test.n0tr00t.com 'unsafe-inline php header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline';"); ' 'unsafe-eval'; style-src 'self' *.ly.com sec-pic-ly.b0.upaiyun.com *.guard.qcloud.com 'unsafe-inline ' 'unsafe-eval'; style-src 'self' *.ly.com sec-pic-ly.b0.upaiyun.com *.guard.qcloud.com 'unsafe-inline sec-pic-ly.b0.upaiyun.com data:; 我们的目标是 src.ly.com 的管理员登录凭证,通过细看上面的 CSP 规则我们可以发现存在很多问题,例如 *.40017.cn, unsafe-inline
1.7K40发布于 2018-03-29 - 来自专栏编程微刊
能否详细解释一下CSP的具体配置方法?
Content-Security-Policy: default-src 'self'; script-src 'self' https://apis.google.com; style-src 'self' 'unsafe-inline style-src 'self' 'unsafe-inline':允许从同一源加载样式,并允许内联样式(不推荐,可能带来风险)。 ‘unsafe-inline’:允许内联脚本和样式(不推荐)。 ‘unsafe-eval’:允许使用 eval() 等方法(不推荐)。 策略 以下是一个更复杂的 CSP 示例,适用于多种资源类型: Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline ' https://apis.google.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; img-src
1.3K10编辑于 2025-05-25 - 来自专栏安恒网络空间安全讲武堂
CSP总结及CTF实例分析
domain.example.com | 允许加载指定域名下的资源 *.example.com | img-src *.example.com | 允许加载 example.com 下所有子域名的资源 'unsafe-inline ' | script-src 'unsafe-inline' | 允许执行内联资源,如样式属性、事件、script 标签 'unsafe-eval' | script-src 'unsafe-eval' 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self'; Bypass unsafe CSP unsafe-inline script-src 'self' 'unsafe-inline'; 当开启了这个选项时,意味着可以执行内联资源,包括 JS、样式表等 假设我们这里的例子都有一个向管理员留言的功能,而目标都是让管理员访问我们的目标网站 ' 'unsafe-eval' 当上面的 unsafe-inline 和 unsafe-eval 都开启时,将会变得很危险 因为你过滤的一些关键字都可以用 eval 函数来绕过,比如 我们先对最基本的
2.7K60发布于 2018-03-26 - 来自专栏问问计算机
Content-Security-Policy中的media-src
当做出以下设置的时候,问题得到解决: default-src 'unsafe-inline' 'self'; script-src 'unsafe-eval' 'unsafe-inline' 'self ';style-src 'unsafe-inline' 'self';img-src 'self' https://t;media-src * blob:; 这里的前面的限制暂且不考虑,关键是针对media-src
3.4K31发布于 2021-05-08 - 来自专栏零域Blog
CSP(Content Security Policy 内容安全策略)
Content-Security-Policy: default-src 'self' PHP用法: header("Content-Security-Policy: script-src 'self' 'unsafe-inline 144.144.144.144 允许加载指定IP *.wufeifei.com 允许加载子域 https://wufeifei.com 允许加载https指定域 https: 允许加载https资源 ‘unsafe-inline ,每个值以空格分隔;策略(每个策略以分号分割) 指令值) 例子(代码需要加在输出页面内容前): header("Content-Security-Policy: script-src 'self' 'unsafe-inline ' 'unsafe-eval' *.google-analytics.com; "); header("Content-Security-Policy: script-src 'self' 'unsafe-inline
2.8K40编辑于 2022-03-16 - 来自专栏高端IT
如何在vscode 背景配置一个动态小女孩
frame-src 'self' vscode-webview: https://*.vscode-webview-test.com; object-src 'self'; script-src * 'unsafe-inline ' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; connect-src 'self' https:; font-src 'self' https:
50940编辑于 2022-06-22 - 来自专栏java思维导图
使用nginx部署网站
'unsafe-inline' script-src 'unsafe-inline' 允许加载 inline 资源(例如常见的 style 属性,onclick,inline js 和 inline img-src 'self' data: https://pic.xiaohuochai.site https://static.xiaohuochai.site; style-src 'self' 'unsafe-inline 3、配置缓存及CSP expires 7d; add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline self' data: https://pic.xiaohuochai.site https://static.xiaohuochai.site; style-src 'self' 'unsafe-inline
3.1K31发布于 2019-11-05 - 来自专栏一直在努力的Java菜鸡er
添加Content Security Policy请求头
configure-content-security-policy/ 方式二:前端h5中添加 <meta http-equiv="Content-Security-Policy" content="style-src 'self' '<em>unsafe-inline</em> ';script-src 'self' '<em>unsafe-inline</em>' 'unsafe-eval' https://webapi.amap.com https://restapi.amap.com https
3K20编辑于 2022-06-17 - 来自专栏LoRexxar's Blog
CSP进阶-link Bypass unsafe line
但是没想到有些东西有点儿太过简单了,所以在看到知道创宇的文章时候有了新的想法 http://paper.seebug.org/91/ 在原来的文章中,我主要提到了两种攻击手段,第一种是 1、script-src self unsafe-inline php header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline';"); php header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline';");
82120编辑于 2023-02-21 - 来自专栏Nicky's blog
Spring Security配置内容安全策略
例子: Content-Security-Policy:script-src 'self' 'unsafe-inline' 'unsafe-eval';style-src 'self' 'unsafe-inline 例子: Content-Security-Policy:script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’;style-src ‘self’ ‘unsafe-inline HttpServletResponse response) { //内容安全策略 response.setHeader("Content-Security-Policy", "script-src 'self' 'unsafe-inline ' 'unsafe-eval';style-src 'self' 'unsafe-inline';img-src 'self' data:;connect-src 'self' http://www.baidu.com
2.1K20编辑于 2022-05-13 - 来自专栏iSharkFly
Discourse 设置 GTM
tagmanager.google.com/ https://www.googletagmanager.com/ 如果你使用 Google Analytics https://www.google-analytics.com/ ‘unsafe-inline 如果你遇到了 ‘unsafe-inline’ 的错误。 那么你还需要把 ‘unsafe-inline’ 添加到信任的链接列表中。
96120发布于 2021-01-29 - 来自专栏对线JAVA面试
使用nginx部署网站教程
'unsafe-inline' script-src 'unsafe-inline' 允许加载 inline 资源(例如常见的 style 属性,onclick,inline js 和 inline img-src 'self' data: https://pic.xiaohuochai.site https://static.xiaohuochai.site; style-src 'self' 'unsafe-inline img-src 'self' data: https://pic.xiaohuochai.site https://static.xiaohuochai.site; style-src 'self' 'unsafe-inline img-src 'self' data: https://pic.xiaohuochai.site https://static.xiaohuochai.site; style-src 'self' 'unsafe-inline 'self' https://static.xiaohuochai.site; connect-src https://api.xiaohuochai.cc; script-src 'self' 'unsafe-inline
2.6K20编辑于 2022-10-27 - 来自专栏LoRexxar's Blog
CSP Level 3浅析&简单的bypass
; Keywords: keyword-source = "'self'" / "'unsafe-inline'" / "'unsafe-eval'" ; Nonces: 'nonce-[ 还有个很重要的参数叫’unsafe-inline’ ,如果加上这个参数,就不会阻止内联脚本,但这被认为是不安全的。 initial argument which is not callable. style-src style-src指令限制了所有可能被引用的css,包括下面三种引用的css属性,style也有个‘unsafe-inline ';font-src http://xxx/fonts/ fonts.gstatic.com; style-src 'self' 'unsafe-inline'; img-src 'self' 重点是这一项 script-src http://xxx/js/ 'unsafe-inline'; 我们先尝试构造payload 可以明显的看到被拦了 但是我们尝试构造内联脚本 能看到成功执行 值得庆幸的是由于同源策略
1.6K20编辑于 2023-02-21 - 来自专栏深度学习与python
基于 Angular 的微前端理念与实践
<html> <head> <meta http-equiv="Content-Security-Policy" content="default-src * data: blob: '<em>unsafe-inline</em> ' 'unsafe-eval'; script-src * '<em>unsafe-inline</em>' 'unsafe-eval'; connect-src * '<em>unsafe-inline</em>'; img-src * data: blob: '<em>unsafe-inline</em>'; frame-src *; style-src * data: blob: '<em>unsafe-inline</em>'; font-src * data: blob: '<em>unsafe-inline</em>';"> <meta charset="utf-8"> <meta http-equiv="X-UA-Compatible" content="IE
1.3K20编辑于 2022-11-28 - 来自专栏网络安全技术点滴分享
漏洞猎手的CSP绕过指南:打破“安全”头部的幻象(第一部分)
‘unsafe-inline’ 灾难这是CSP错误中的核选项。如果你在 script-src 指令中看到 'unsafe-inline',直接收工吧——你已经赢了。 脆弱的策略:Content-Security-Policy: script-src 'self' 'unsafe-inline';绕过方式:<script>alert('CSP Bypass')</script default-src 'none' 默认拒绝一切使用随机数(nonce)处理特定的内联脚本,消除了 'unsafe-inline''strict-dynamic' 允许受信任的脚本加载其他脚本,而无需白名单域名 你的CSP测试清单在你离开一个目标之前,快速检查一下这个清单:script-src 是否包含 'unsafe-inline'?script-src 是否包含 'unsafe-eval'? 真实世界绕过示例让我分享几个来自真实漏洞赏金计划的速胜案例:示例 1:电商平台策略: script-src 'self' 'unsafe-inline' *.cloudflare.com绕过: 简单的内联脚本赏金
23810编辑于 2025-12-28 - 来自专栏LoRexxar's Blog
hctf2016 guestbook&secret area writeup
所以其实关键在于CSP Content-Security-Policy:default-src 'self'; script-src 'self' 'unsafe-inline'; font-src ' self' fonts.gstatic.com; style-src 'self' 'unsafe-inline'; img-src 'self' 不熟悉的人可能并不清楚其中的CSP有什么样的问题,试试上 V6Bq3u346wy1l0rOIp59A6RSX5gmAiSK40bp5JNrbnw='; font-src http://sguestbook.hctf.io/static/ fonts.gstatic.com; style-src 'self' 'unsafe-inline '; img-src 'self' CSP限制的域差不多符合以下几个条件: 1、script没有开启unsafe-inline,也就是说不允许内联脚本 2、script只允许static目录,但这个目录下内容不可控 3、style-src开启了unsafe-inline而且是self(这里其实是不小心的失误) 4、default-src为self,也就是站内请求都是被许可的 正解 综合CSP的限制,我们需要回去想想题目中给的条件
37920编辑于 2023-02-21 - 来自专栏架构之巅
如何优雅的处理CSP问题
'unsafe-inline':允许行内代码执行. Content-Security-Policy", "default-src 'self';img-src * 'self' blob: data: ; font-src * data:;style-src * 'unsafe-inline
8.8K52发布于 2021-10-13 - 来自专栏前端历劫之路
Vscode个性化设置:让一个小萌妹陪你敲代码
://*.vscode-webview-test.com; object-src 'self'; script-src 'self' 'unsafe-eval'; style-src 'self' 'unsafe-inline frame-src 'self' vscode-webview: https://*.vscode-webview-test.com; object-src 'self'; script-src * 'unsafe-inline ' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; connect-src 'self' https:; font-src 'self' https: ://*.vscode-webview-test.com; object-src 'self'; script-src 'self' 'unsafe-eval'; style-src 'self' 'unsafe-inline
1.6K10发布于 2021-12-01 - 来自专栏typecodes
utuntu22.04安装含brotli模块的Ningx
cache-control: no-cache content-security-policy: default-src disqus.com disquscdn.com; script-src 'unsafe-inline ' 'unsafe-eval' blob: https:; img-src 'self' https: hm.baidu.com disqus.com; style-src 'unsafe-inline
37410编辑于 2024-03-29 - 来自专栏码匠的流水账
聊聊spring cloud gateway的SecureHeadersGatewayFilter
data:; img-src 'self' https: data:; object-src 'none'; script-src https:; style-src 'self' https: 'unsafe-inline data:; img-src 'self' https: data:; object-src 'none'; script-src https:; style-src 'self' https: 'unsafe-inline data:; img-src ‘self’ https: data:; object-src ‘none’; script-src https:; style-src ‘self’ https: ‘unsafe-inline
1.6K20发布于 2018-09-17
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号