Estoy probando la herramienta CSP Evaluator , y tengo una pregunta sobre la siguiente política de seguridad de contenido:
default-src enlace
La herramienta considera esto como un alto riesgo:
maps.googleapis.com es conocido por albergar puntos finales JSONP que permiten omitir este CSP.
Mi pregunta es, ¿cómo se puede explotar un maps.googleapis.com de confianza para realizar un ataque XSS?
Considere si un atacante ha intentado algo como esto inyectando XSS:
<script src="https://maps.googleapis.com/foo?callback=alert"></script>EstoejecutaríalafunciónfoodesdeelSDKdeJavaScriptdelasAPIdeGoogley,asuregreso,llamaríaaalert.Estodemuestraqueunatacantepodríainyectarcódigoenlíneaenlapágina,queseejecutaría.Porlotanto,selograXSSqueevitaelbloqueodelcódigounsafe-inline.
Porsupuesto,loquepuedellamarsedependerádelosargumentosqueseapruebenydelaformaexactaenqueGoogledesinfectaelparámetrodedevolucióndellamada.ParecequeelValidadordeCSPsolotieneunareglasimpleparamarcarlosenlaforma"¿el dominio en el CSP es compatible con JSONP?" que no tiene en cuenta cómo se ejecuta la devolución de llamada.
Esto parece justo, ya que el Validador de CSP nunca sabrá si alguna alteración del código en el dominio externo alguna vez introduce o corrige dichas vulnerabilidades, por lo que creo que es correcto que esté marcado.
Lea otras preguntas en las etiquetas xss content-security-policy