PTT數位生活區 / Web_Design

[問題] CSP現在無法防止javascript injection?

看板Web_Design作者 (德雷克)時間9年前 (2015/11/13 16:11), 編輯推噓0(001)
留言1則, 1人參與, 最新討論串1/1
之前我在實作時有測試過CSP可以防止hacker inject javascript 可是昨日在測試時發現現在完全無法抓包javascript injection了,有人知道為什麼嗎? 測試方法: $("#id").append("<script>alert('xss')</script>"); 先前結果: CSP report 目前測試結果: 顯示xss CSP header: Content-Security-Policy-Report-Only: default-src 'self'; img-src 'self' data:; child-src 'none';object-src 'none'; script-src 'self' 'unsafe-eval';style-src 'self' 'unsafe-inline';report-uri csp_report; 請問大大CSP協定是不是有做什麼更動,因為Chrome跟Firefox的反應都一樣,還是我哪裡 寫錯了。。。 煩請大大指教 手機排版傷眼先抱歉>< -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.14.114.36 ※ 文章網址: https://www.ptt.cc/bbs/Web_Design/M.1447402282.A.5A1.html
11/14 16:15, , 1F
unsafe-inline
11/14 16:15, 1F
更多 derayke 的文章
文章代碼(AID): #1MHPigMX (Web_Design)
Web_Design 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 derayke 的文章
文章代碼(AID): #1MHPigMX (Web_Design)