CSP 之dvwa

csp的本质是白名单，明确告诉浏览器哪些外部资源可以使用

 

请求头：[][x]

Content-Security-Policy: script-src 'self'; object-src 'none';

style-src cdn.example.org third-party.org; child-src https:

 

 

low

 

 

中

http头信息中的script-src的合法来源发生了变化，说明如下

 

unsafe-inline，允许使用内联资源，如内联< script>元素，javascript:URL，内联事件处理程序（如onclick）和内联< style>元素。必须包括单引号。

nonce-source，仅允许特定的内联脚本块，nonce=“TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA”

 

现在更加简单了，可以直接输入以下代码

<script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert('qisheng')</script>

 

 

高