Как Политика безопасности контента на самом деле предотвращает атаку? - PullRequest
3 голосов
/ 08 мая 2019

Насколько я понимаю, заголовок Content Security Policy (или метатег в заголовке страницы) указывает, какие элементы разрешено загружать на веб-странице.

Это означает, что если злоумышленник может изменить содержимое страницы и добавить вызов вредоносного сценария javascript, сценарий не будет загружен, поскольку он поступает из домена, специально не разрешенного CSP. .

Это правильно?

Если так, что мешает злоумышленнику изменить сам заголовок CSP, разрешив, таким образом, вызовы его сценария?

1 Ответ

3 голосов
/ 08 мая 2019

Существует много сценариев, когда злоумышленник может изменить страницу, но не заголовки.

Например, атака XSS, которая внедряет скрипт в страницу, сможет внедрить дополнительный скрипт, но не может изменить заголовки, отправленные вместе с начальной страницей. CSP может помешать запуску внедренного сценария, а также запретить загрузку любого дополнительного сценария.

CSP является примером глубокой защиты . Тот факт, что он потерпел неудачу, когда злоумышленник полностью захватил сервер, на котором размещена страница, не означает, что он не имеет значения.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...