使用<form>设置为嵌入JavaScript的操作的元素将导致违反CSP。 代码语言:javascript 复制 <meta http-equiv="Content-Security-Policy"content="form-action 'none'"><form action="javascript:alert('Foo')"id="form1"method="post"><input type="text"name="fieldName"value="fieldValue"><input type="submit"...
利用反射型XSS二次注入绕过CSP form-action限制 翻译:SecurityToolkit 0x01 简单介绍 CSP(Content-Security-Policy)是为了缓解XSS而存在的一种 策略, 开发者可以设置一些规则来限制页面可以加载的内容.那文本中所说的form-action又是干啥的呢?用他可以限制form标签"action"属性的指向页面, 这样可以防止攻击者通过XSS修...
In Chrome, if I have a CSP policy ofform-action 'self'and I submit a form to /redirect, which does a 302 redirect to a different domain, I would see an error like this: Refused to send form data to '<URL>' because it violates the following Content Security Policy directive: "form-...
form-action指令:定义可用作HTML <form>动作的有效源。 frame-ancestors指令:使用<frame> <iframe> <object> <embed> <applet>定义嵌入资源的有效源。将此指令设置为“none”应该大致相当于X-Frame-Options: DENY plugin-types指令:为通过<object>和<embed>调用的插件定义有效的MIME类型。要加载<applet>,必须指定a...
<!--Sample strictCSPpolicy to mitigate content injection--><meta http-equiv="Content-Security-Policy"content="default-src 'self'; script-src 'self'; style-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'; block-all-mixed-content;"> ...
某些类型的攻击不能通过管理子资源来防止,但与之类似,对于文档也需要有可以与之交互的可信来源的概念。 一个常见的例子是frameancestors指令,它定义了允许的框架来源,以防止点击劫持。 类似地,base-uri和form-action定义哪些URL可以是<base#href>和<form#action>元素的目标,以防止一些Post XSS攻击。
form-action:限制form可以提交的地址 frame-ancestors:当前页面可以被哪些来源所嵌入(正好和child-src相反),该指令不能通过<meta>指定,且只对非HTML文档类型的资源生效 navigation-to:限制文档可以通过以下任何方式访问url(a, form, window.location, window.open...) ...
form-action:指定处理提交 web 表单时允许的服务器地址。navigate-to:指定在连接上单击时允许的页面地址。block-all-mixed-content:指定对 Web 页面和 Web Worker 的所有内容强制执行加密连接 (HTTPS)。report-to:在浏览器中进行远程报告的 URL。base-uri:允许网站定义安全的基本页面 URL。reflected-xss:默认...
form-action 主要防御 <form> frame-ancestors 主要防御 <frame>,<iframe>,<object>,<embed>,<applet> plugin-types 主要防御 <object>,<embed>,<applet> CSP指令值 指令值 指令和指令值示例 指令值说明 * img-src * 允许任何内容。 ‘none’ img-src ‘none’ 不允许任何内容。
form-action:定义可用作HTML <form>操作的有效源。 default-src:指定加载内容的默认策略 1. 2. 3. 4. 5. 6. 7. 8. 9. 我们可以在可重用的中间件中封装构建和添加CSP头。以下是一个让您入门的示例。你可以根据需要扩展它。首先,创建一个用于保存源的类。