CSP:什么是 script-src-attr 和 script-src-elem?

信息安全 xss javascript 内容安全策略 标题
2021-08-21 13:04:32

script-src-attr 和 script-src-elem 指令是 CSP3 中的新增功能。我无法理解它们与 script-src 指令有何不同。

https://w3c.github.io/webappsec-csp/#directive-script-src-elem

这记录了新增内容,但我无法清楚地区分用法,可能是由于语言难懂。

1个回答

Script-src-elem 适用于脚本标签:

<script>alert(1)</script>
<script src="/jquery.js">

Script-src-attr 适用于包含 JavaScript 的属性:

<svg onload="alert(1)">

更多信息可以在Intent to Implement and Ship: CSP3: script-src-attr, script-src-elem, style-src-attr,style-src-elem指令中找到

其它你可能感兴趣的问题
上一篇我正在寻找有关已测试的 Scrum 安全开发生命周期的反馈? 下一篇Outlook for Android 使用中间 Microsoft 服务器