Pengenalan
Berkenalan dengan CSP Bypass
Content Security Policy (CSP) adalah kebijakan keamanan browser. Jika label atau HTTP header mengembalikan CSP label, maka browser akan menentukan resource mana saja yang bisa dimuat atau dieksekusi berdasarkan isi label.
Apa itu CSP?
Content Security Policy atau disingkat CSP adalah teknologi browser bawaan yang membantu melindungi dari serangan seperti XSS.
Ini daftar dan menjelaskan paths dan sources, dari mana browser dapat membuat resource dengan aman. Resiurcer tersebut dapat mencakup gmabar, frame, javascript, dan lainnya.
Berikut ini adalah contoh yang memungkinkan resource dari domain lokal (self) untuk dimuta dan dieksekusi in-line dan memungkinan string code mengekesusi fungsi seperti eval, setTimeout atau setInterval:
Content-Security-Policy: default-src 'self' 'unsafe-inline' 'unsafe-eval';
Headers
Content-Security-PolicyContent-Security-Policy-Report-OnlyYang ini tidak akan memblokir apa pun, hanya mengirim laporan (gunakan di Pre Environment).
Last updated