B
Стоит уже
Size: a a a
2018 July 23
B
Там тестовая страничка есть, потыкай ее
AS
frame-src 'none';
B
frame-src 'none';
Так - да
B
Запретить грузить фреймы вообще (или запретить грузить фреймы с текущего домена).
AA
Бум, c unsafe-inline это уже lose по умолчанию
AA
тысяча способов можно придумать как передать информацию
AS
да кстати
AS
убери инлайн
AS
что за чит
AS
норм пацаны не делют инлайн
B
тысяча способов можно придумать как передать информацию
Да не много, на самом деле
ES
вот я сделяль 0дей за две копейки: http://asintsov.blogspot.com/2018/07/cisco-webex-teams-remote-code-execution.html - было довольно просто) никаких мемори коррапшн... хотя я и имемори каррапшн нашел, но он не слпойтабельный был
Вижу знакомые вещи )
B
Бум, c unsafe-inline это уже lose по умолчанию
Ну эт понятно, вообще идея для таска была, но уже нет
ES
ну я чекунал вес топовые мессенджеры.. везде разрабы продумали что линк маркдауна может быть опасен)
Я когда свой мини ресерч делал тестил на приложениях с электроном, но там все было хорошо с кастомными схемами
I
в лучшем случае будет инлайн с нонсами
I
я тут бегло просмотрел наши банки, везде ансейф евал+ансайф инлайн, нонс отсутствует, все прекрасно.
AS
CSP не для всех))
AS
Я когда свой мини ресерч делал тестил на приложениях с электроном, но там все было хорошо с кастомными схемами
ну там тож было не плохо... XSS не смог закатать никуда