在我的 CSP 中允许“connect-src”使用“https”有什么安全隐患?
我知道攻击者在技术上能够将信息发送到任何 URL(尽管不确定如何),但鉴于我使用随机数限制 script-src,我认为攻击者不可能执行任何代码。唯一的例外可能是客户端浏览器中的扩展程序,如果它具有用户的权限,它可以执行代码,然后能够将信息从我的网页发送到他们的服务器。或者攻击者还有其他方法使用 connect-src 发送信息吗?
不限制 connect-src 意味着有更多的方法可以窃取数据。攻击者始终可以使用不受限制的指令的查询字符串参数来实现此目的,但保持 connect-src 打开会提供更多可能性。 https://scotthelme.co.uk/can-you-get-pwned-with-css/.
中讨论了 css 文件中脚本代码范围内对此的思考自动安全分析器还会指出 connect-src 权限范围很广,可能会将其标记为问题,而无法分析整个策略。