하루

맛있는 쿠키 1. 업로드 기능으로 우회 다음과 같이 서버에 CSP가 적용되었다고 가정해 봅시다. script-src 지시문은 self 및 임의의 nonce 값으로 설정됩니다. 즉, `와 같은 페이로드`nonce` 값이 없기 때문에 `는 실행되지 않습니다. <?php $nonce = base64_encode(sha1(RandomString())); $CSP = array( “default-src ‘self'”, “script-src ‘self’ ‘nonce-$nonce'” ); header(“Content-Security-Policy: ” . join(“; “, $CSP)); echo $_GET(“data”); ?> 이 문제를 … Read more