绕过“ img-src” csp策略

时间:2018-12-05 17:28:04

标签: javascript content-security-policy

我正在尝试在使用cimg策略“ img-src”的第三方网站上显示图片,以禁止显示每张图片。 我尝试在img标签甚至div标签上使用“背景图像” css,但是没有运气。 这有可能吗?还是我应该要求网站所有者放弃限制?

1 个答案:

答案 0 :(得分:0)

通常,不可以,无法绕过站点所有者的CSP。在网站上强制执行CSP的全部目的是,使网站所有者可以阻止以保护网站的安全。

进行quick search for "bypassing a csp"返回了一些结果,但是这些示例通常是在非常特定的情况下进行的。因此,从技术上讲,是的,可以通过渗透测试和有限的情况绕过CSP,但是我不会依赖这些,因为它们可能会在将来修复,并且您基于该漏洞的解决方法可能会关闭。 >

您最好的选择是与网站所有者联系,并要求他们在其img-src指令中将您的网站列入白名单,以便其正确显示。