DVWA CSP low 响应失败原因

原本这题是通过控制CSP允许的域名从而进行加载其中的js代码的

DVWA CSP low 响应失败原因_第1张图片

 其他文章差不多都是填这个链接就可以插入js代码

但是我做这题的时候发现

运行不起来?

DVWA CSP low 响应失败原因_第2张图片

 浏览器这里并没有进行响应

但是发现了浏览器报了个错

 because its MIME type ('text/plain') is not executable, and strict MIME type checking is enabled.

翻译一下大概是

因为它的MIME类型('text/plain')不可执行,并且启用了严格MIME类型检查。

于是网上查了一波资料发现是因为有了这个响应头

X-Content-Type-Options: nosniff

安全头部X-Content-Type-Options: nosniff 遇到了格式不正确的Content-Type格式

也就是说如果加上了这个响应头我们script标签的type属性需要和Content-Type类型一致才行

这里的Content-Type类型是text/plain,而script标签默认text/javascript

MIME类型无法对应从而浏览器报错了,而且浏览器也自动过滤了该响应

如果这样的话我一下就没了思路

不知道有没有大佬知道怎么绕过了..

你可能感兴趣的:(网络安全,前端,网络安全)