浏览器无法区分JS的来源，有的JS是来自应用本身的，而有的则有可能来自恶意注入。由于浏览器无法区分JS的来源，这可能会被XSS攻击所利用。 例如在一个博客网站，发表一篇包含恶意脚本的<script>标签的文章，这篇文章会保存在服务器中。当其他人访问这篇文章时，会在访问者的浏览器…

XSS 是跨站脚本攻击（Cross Site Scripting）的简写，但是从首写字母命名的方式来看，应该取名 CSS，但这样就和层叠样式表（Cascading Style Sheets，CSS）重名了，所以取名为 XSS。 XSS 攻击，一般是指攻击者通过在网页中注入恶意脚…

调试工具： Chrome插件——modheader。通过随意设置响应头来测试CSP 最后，有一个通用化配置——default-src，你给了它什么值，其他几个指令就默认什么值。其他指令如果有设置，那自身的值会覆盖default-src的值 注意，要写冒号。为了防止误解，所以上面…

我当前的 chrome 版本是 v68，如果是 v66 或更低版本可能提示的警告信息略有不同。印象中只对 CORS 比较熟悉，CORB 是个什么鬼？好奇心迫使我想要了解一下它到底是什么，于是暂时把手头工作放下查了一些资料并花时间汇总了一下，就有了这篇文章。 再介绍 CORB 是…