Как Политика безопасности контента на самом деле предотвращает атаку?

Question

Насколько я понимаю, заголовок Content Security Policy (или метатег в заголовке страницы) указывает, какие элементы разрешено загружать на веб-странице.

Это означает, что если злоумышленник может изменить содержимое страницы и добавить вызов вредоносного сценария javascript, сценарий не будет загружен, поскольку он поступает из домена, специально не разрешенного CSP. .

Это правильно?

Если так, что мешает злоумышленнику изменить сам заголовок CSP, разрешив, таким образом, вызовы его сценария?

Answer 1

Существует много сценариев, когда злоумышленник может изменить страницу, но не заголовки.

Например, атака XSS, которая внедряет скрипт в страницу, сможет внедрить дополнительный скрипт, но не может изменить заголовки, отправленные вместе с начальной страницей. CSP может помешать запуску внедренного сценария, а также запретить загрузку любого дополнительного сценария.

CSP является примером глубокой защиты . Тот факт, что он потерпел неудачу, когда злоумышленник полностью захватил сервер, на котором размещена страница, не означает, что он не имеет значения.