绕过 CSP，实现 Netlify CDN 上XSS

文章预览

声明： 文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 博客新域名： https://gugesay.com 不想错过任何消息？设置星标 ↓ ↓ ↓ 前言 本文将讨论在 https://app.netlify.com 中使用的 Netlify 图像 CDN 上发现的 XSS，以及如何设法绕过 CSP（对于不太熟悉这个 CSP 的人来说，简单概括就是在任何情况下都不会执行脚本），扩展阅读可前往： https://docs.netlify.com/image-cdn/overview/?source=post_page—–755a27065fd9 故事开始 众所周知，许多流行的静态站点生成器都具有图像 CDN 功能，这样可以优化网站上使用的图像。 如果希望通过尽可能减少加载图像所需的时间来加快网站加载速度，图像CDN非常有用。 以下是一些例子： 图像优化 为NUXT优化图像 预优化图像 ………………………………