Sto testando lo strumento CSP Evaluator e ho una domanda riguardante la seguente politica di sicurezza del contenuto:
default-src https://maps.googleapis.com
Lo strumento considera questo come un rischio elevato:
maps.googleapis.com is known to host JSONP endpoints which allow to bypass this CSP.
La mia domanda è: in che modo è possibile sfruttare un maps.googleapis.com affidabile per eseguire un attacco XSS?
Considera se qualcosa di simile è stato tentato da un utente malintenzionato che ha iniettato XSS:
<script src="https://maps.googleapis.com/foo?callback=alert"></script>Ciòeseguiràlafunzionefoodall'SDKJavaScriptdell'APIdiGoogleealsuoritornochiamerebbealert.Ciòdimostracheunutentemalintenzionatosarebbeingradodiinserirecodiceinlinenellapagina,cheverrebbeeseguito.PertantovieneraggiuntoXSScheignorailbloccodelcodiceunsafe-inline.
Ovviamente,ciòchepuòesserechiamatodipenderàdagliargomentipassatiedacomeesattamenteGoogledisinfettailparametrodicallback.SembracheCSPValidatorabbiasolounasempliceregolapercontrassegnarlinellaforma"il dominio nel CSP supporta JSONP?" che non tiene conto di come viene eseguita la richiamata.
Questo sembra giusto, in quanto CSP Validator non saprà mai se eventuali alterazioni del codice nel dominio esterno introdurranno o patcheranno tali vulnerabilità, quindi penso che sia corretto che questo sia contrassegnato.
Leggi altre domande sui tag xss content-security-policy