CSP bypass: self + 'unsafe-inline' with Iframes
A configuration such as:
テキストと画像を通じて
現代のブラウザは、画像やテキストをHTMLに変換して表示を向上させることが観察されています(たとえば、背景の設定、中央揃えなど)。その結果、favicon.ico
やrobots.txt
などの画像やテキストファイルがiframe
経由で開かれると、HTMLとしてレンダリングされます。特筆すべきは、これらのページにはしばしばCSPヘッダーが欠けていることやX-Frame-Optionsが含まれていないことがあり、それによりそれらから任意のJavaScriptが実行される可能性があることです。
エラー経由
同様に、テキストファイルや画像などのエラーレスポンスは、通常CSPヘッダーが付与されず、X-Frame-Optionsが省略されることがあります。エラーをiframe内で読み込むよう誘導することで、以下のアクションが可能になります。
以下のいずれかのシナリオをトリガーした後、次のようにしてiframe内でJavaScriptの実行が可能になります:
参考文献
Last updated