CSP 中 src-script 指令中的 unsafe-inline 如何使网站遭受 XSS 攻击?
内联脚本通常是 XSS 攻击的第一步,其中一些脚本被放置在页面上,无论是反射还是存储。如果需要额外的说明,它可能会下载额外的脚本代码。
没有 CSP 或在没有 default-src 或脚本指令的 CSP 中,允许内联脚本。
允许不安全内联通过允许最常见的 XSS 攻击向量削弱了 CSP 施加的默认安全限制。这样,您的 CSP 将无法防止 XSS 攻击,只能通过限制脚本下载位置来缩小攻击范围,并加大数据泄露的难度。