CSP 之dvwa
2024-08-31 11:12:26
csp的本质是白名单,明确告诉浏览器哪些外部资源可以使用
请求头:[][x]
Content-Security-Policy: script-src 'self'; object-src 'none';
style-src cdn.example.org third-party.org; child-src https:
low
中
http头信息中的script-src的合法来源发生了变化,说明如下
unsafe-inline,允许使用内联资源,如内联< script>元素,javascript:URL,内联事件处理程序(如onclick)和内联< style>元素。必须包括单引号。
nonce-source,仅允许特定的内联脚本块,nonce=“TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA”
现在更加简单了,可以直接输入以下代码
<script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert('qisheng')</script>
高
最新文章
- T-SQL Recipes之Separating elements
- Spring学习系列(三) 通过Java代码装配Bean
- react-native win7环境搭建
- 【转】MySQL5安装的图解(mysql-5.0.27-win32.zip)
- jquery 导航固定的一个实例
- 2W/月和1W/月的工作,你会怎么选?
- LA 6450 Social Advertising
- 修改UISearchBar背景颜色
- 【Linux命令】配置ssh远程连接步骤
- [笔记]NumPy基础操作
- spring的bean是在什么时候实例化的
- JAVA面向对象-----内部类的概述
- 基于Orangpi Zero和Linux ALSA实现WIFI无线音箱(二)
- return的作用
- java 解压缩 中文名称问题
- map传参上下文赋值的问题
- Mysql windows版本的安装
- Journal of BitcoinJ 从clone开始
- (24)协程---joinall和value
- Oracle 增加、修改、删除字段
热门文章
- 构建的Web应用界面不够好看?快试试最新的Kendo UI R3 2019
- nginx第六天
- &#39;EF.Utility.CS.ttinclude&#39; returned a null or empty string.
- C# 常用方法—— 32位MD5加密
- MySQL的字符集操作命令总结
- Kaplan–Meier estimator &; Greenwood formula
- sh_11_字典的其他操作
- USACO2018DEC GOLD
- 实验吧(你真的会PHP吗)CTF之代码审计最终版---解析是错的 我的才是对的
- 前端学习之三——jquery选择器