浏览器缺陷启用了XSS攻击受保护页面的攻击
铬团队已经修补2.5岁的虫子这使得跨站点脚本成为可能(XSS)对网页的攻击,即使已配置beplay体育能用吗为防止XSS攻击。
由Jun Kokatsu发现,浏览器安全研究人员微软,该错误使狡猾的攻击者绕过内容安全策略((CSP),一个HTTP标头,限制了在网页上加载并运行的外部资源。beplay体育能用吗
斑点攻击
在概念证明中,Kokatsu表明,如果Web应用程序创建beplay体育能用吗Blob URL借助攻击者控制的数据,即使该站点受到严格的CSP策略的保护,也可能导致XSS攻击。斑点是可以读取为文本或流的原始数据。
由于IFRAMES(嵌入式HTML页面)从其父页面继承标题和策略的方式,攻击者可以利用该错误绕过CSP规则并在页面上执行恶意代码。
例如,最近chat.mozilla.org中的XSS漏洞发生是由于攻击者传递的斑点对象创建斑点URL而发生的。
Kokatsu告诉每日swbeplay2018官网ig在书面评论中。
Kokatsu还说,这次袭击可以在其他URL方案上进行,包括数据:和JavaScript:URL。
两年的补丁
Kokatsu在2018年12月发现了该错误。最初被视为非问题,但铬车队后来承认其严重性,并在铬规范中实施了新的集装箱安全策略。
Kokatsu说:“没有多少人意识到跨原始页面可以浏览其打开的iFrame或窗户。”“需要这种理解才能理解攻击以及CSP规范中政策继承问题的问题空间。”
尽管如此,由于其复杂性,修复了错误花了两年多的时间。“ CSP需要继承政策到本地计划,因为这些方案(例如关于:,,,,斑点:,,,,数据:,,,,JavaScript:)没有响应标题。” Kokatsu说。
你可能还喜欢Google Abandons计划在现实世界测试后简化Chrome中的URL
尽管某些方案相对容易解决,但Blob URL尤其难以修补,因为很难跟踪哪个文档创建了URL。
Kokatsu说:“因此,他们必须在HTML的规范中提出一个新概念,以跟踪此信息。”
新的HTML规范,政策容器,提供对HTML文档中继承的政策及其嵌入组件的更加颗粒状的控制。目前,它仅适用于CSP和推荐人策略。Kokatsu表示,它也需要应用于其他政策。
iframe安全的复杂性
使用iframes已充满安全问题。“链接其他页面或框架其他页面的能力一直是网络的好处之一。beplay体育能用吗但是,这确实使浏览器安全性和Web安全性的生态系统增加了复杂性。” Kokatsu说。beplay体育能用吗
浏览器供应商一直在尝试开发新的规格和工具,以通过嵌入式框架来减轻攻击。其中一些规格包括X框架选项,,,,iframe沙箱, 和许可政策。
Kokatsu说:“尽管对IFRAMES的威胁会继续下去,但我希望随着时间的流逝,我们可以减轻许多攻击,并转向更安全的网络。”beplay体育能用吗
“随着进攻的进步,重要的是了解有效的工作以及我们需要更具体的缓解措施,然后在这些斑点上应用更多的防御。”
