通过策略注入绕过CSP 黑客技术

通过策略注入绕过CSP

在测试PayPal寻找绕过CSP和混合内容保护的方法时,我发现了一个有趣的行为。PayPal在他们的CSP的report-uri指令中放置了一个名为token的GET参数。我发现通过更改令牌参数,可以...