Почему оценщик CSP предупреждает, что обход не найден, убедитесь, что этот URL-адрес не обслуживает ответы JSONP или Angular библиотеки, если я помещаю script-sr c * .somesite.com?

Question

Я понимаю причину, по которой CSP предупреждает о конечной точке JSONP, потому что, если мой сайт имеет уязвимость XSS, наличие конечной точки JSONP должно привести к тому, что мой сайт будет xss. Но почему Angular библиотеки? Может ли кто-нибудь продемонстрировать полезную нагрузку, которая использует библиотеку Angular для вызова xss?

Answer 1

Некоторые образцы

Вы можете запустить обработчик Angular аналогично тому, как вы бы сделали это с JSONP.

Так как домены в белом списке могут иметь диапазон этих обходов, особенно если это широко используемые вещи, такие как CDN или API (общие для хоста Angular, JSONP или перенаправления), они обычно делают ваши политики бесполезными.

В зависимости от вашего варианта использования список доменов в политика может стать очень большой и затруднить обслуживание и мониторинг этих обходов.

Вместо этого рекомендуется использовать одноразовые номера CSP. Объяснено авторами CSP Mitigator здесь