PTT數位生活區 / Ajax

[問題] CSP現在無法防止javascript injection?

看板Ajax作者 (德雷克)時間9年前 (2015/11/13 16:24), 編輯推噓1(102)
留言3則, 2人參與, 最新討論串1/1
之前我在實作時有測試過CSP可以防止hacker inject javascript 可是昨日在測試時發現現在完全無法抓包javascript injection了,有人知道為什麼嗎? 測試方法: $("#id").append("<script>alert('xss')</script>"); 先前結果: CSP report 目前測試結果: 顯示xss CSP header: Content-Security-Policy-Report-Only: default-src 'self'; img-src 'self' data:; child-src 'none';object-src 'none'; script-src 'self' 'unsafe-eval';style-src' self' 'unsafe-inline';report-uri csp_report; 請問大大CSP協定是不是有做什麼更動,因為Chrome跟Firefox的反應都一樣,還是我哪裡 寫錯了。。。 煩請大大指教 手機排版傷眼先抱歉>< -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.14.114.36 ※ 文章網址: https://www.ptt.cc/bbs/Ajax/M.1447403083.A.E8F.html
11/13 22:53, , 1F
Report-Only 是不是只有通報,沒有真的限制
11/13 22:53, 1F
11/14 02:56, , 2F
是啊 只要有CSP report 才代表有抓到 但問題是他沒report
11/14 02:56, 2F
11/14 02:56, , 3F
(沒抓到JS injection) 所以就算拿掉report也不會擋
11/14 02:56, 3F
更多 derayke 的文章
文章代碼(AID): #1MHPvBwF (Ajax)
Ajax 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 derayke 的文章
文章代碼(AID): #1MHPvBwF (Ajax)