Проблема безопасности: CacheStorage может нарушать правила политики безопасности контента (CSP). ⇐ Javascript

[Anonymous]

Вы знаете эту конфигурацию CSP:

Код: Выделить всё

Content-Security-Policy: script-src 'self'

Тогда этот код не может быть выполнен:

Код: Выделить всё

// Content-Security-Policy: script-src 'self'
const dangerousStringToBeEvaluated= "console.log('HACKED!')"
eval(dangerousStringToBeEvaluated) // EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self'

Но если я знаю, что какой-то файл JavaScript кэшируется в CacheStorage (и обслуживается сервис-воркером), то я могу обойти эту проблему ограничение путем изменения содержимого кэша:

Код: Выделить всё

// Content-Security-Policy: script-src 'self'
const dangerousStringToBeEvaluated = "console.log('HACKED!')"
const cache = await caches.open('some-cache')
await cache.put(
'/some-file.js',
new Response(dangerousStringToBeEvaluated, {headers: {'Content-Type': 'application/javascript'}}),
)

И после этого вы увидите ВЗЛОМАНО! в вашей консоли, когда /some-file.js импортирован!

Существует ли какое-либо другое правило CSP, предотвращающее такое поведение? Например, ограничив доступ для записи в CacheStorage?

Дополнительная информация:
CSP принудительно применяется ко всем моим файлам, включая самого сервис-воркера и все файлы, которые он кэширует. Так, например, если вы установите для опасноStringToBeEvaluated значение:

Код: Выделить всё

const dangerousStringToBeEvaluated = "console.log('HACKED!'); eval(`console.log('HACKED MORE!')`)"

Тогда первый журнал работает, но второй, который находится внутри eval, блокируется.


Подробнее здесь: https://stackoverflow.com/questions/793 ... -csp-rules