我知道对 default-src 和 scripts-src 使用严格的值是防止(或至少限制影响)XSS 攻击的流行方法。但我只是想知道 CSP 可以用来阻止攻击者/渗透测试者使用 BeEF 框架挂钩浏览器。
可以通过内容安全策略停止 BeEF 挂钩吗
信息安全
xss
内容安全策略
牛肉
2021-08-28 04:10:48
1个回答
是的。Beef 钩子只是依赖于 script-src 标签的 XSS 攻击的高级有效载荷。如果你有一个健康的 Content-Security-Policy,受害者浏览器将拒绝加载外部牛钩。
如果您有 HTML 注入漏洞,CSP 是第二道防线。
其它你可能感兴趣的问题