So che usare valori rigorosi per default-src e scripts-src è un modo popolare per prevenire (o almeno limitare l'impatto) degli attacchi XSS. Ma mi stavo solo chiedendo che i CSP possano essere usati per fermare gli attaccanti / pentesters dall'aggirare i browser usando il framework BeEF.
Sì. L'hook Beef è solo un payload avanzato per un attacco XSS che si basa sul tag script-src. Se disponi di una politica di sicurezza dei contenuti salda, il browser delle vittime rifiuterà di caricare l'hook di manzo esterno.
CSP è una linea di difesa secondaria in caso di vulnerabilità di tipo HTML-injection.
Leggi altre domande sui tag xss content-security-policy beef