发现知乎的一个Bug,并且我绕过了此Bug,沾沾自喜中...

发现问题

在知乎点击修改头像,上传图片时发现一片空白。凭着程序员的直觉,第一反应时看下控制台是否有报错。果然发现如下:
发现知乎的一个Bug,并且我绕过了此Bug,沾沾自喜中..._第1张图片

Refused to load the image 'data:image/jpeg;base64...' because it violates the following Content Security Policy directive: "default-src *". Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback.

第一次发现此类报错,果断google之。发现为抵御XSS攻击,配置了响应参数CSP(Content Security Policy)引起的。

HTML页面的响应参数如下:

Content-Security-Policy:default-src *; frame-src *.zhihu.com getpocket.com note.youdao.com; script-src *.zhihu.com *.google-analytics.com zhstatic.zhihu.com 'unsafe-eval'; style-src *.zhihu.com 'unsafe-inline'

错误提示的大概意思是由于没有配置img-src,所以默认采用default-src的配置。
但是default-src配置为*,所以理论上应该是不会报错的。查看了 https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives#default-src文档如下
发现知乎的一个Bug,并且我绕过了此Bug,沾沾自喜中..._第2张图片

误打误撞解决问题

所以我只能先认定只配置*是存在问题的,突然想着本地代理映射文件然后修改响应参数去验证,于是保存HTMl文件,并用charles映射到本地。
神奇的事情突然发生了,竟然能上传成功。
发现知乎的一个Bug,并且我绕过了此Bug,沾沾自喜中..._第3张图片
发现知乎的一个Bug,并且我绕过了此Bug,沾沾自喜中..._第4张图片
突然为程序员的自己感到自豪。

后记

虽然解决了上传问题,但是还有好多疑问。

  1. 对default-src配置*是否有效还需要进一步确认。
  2. 通过代理本地文件就能绕后CSP,是否存在安全问题。
  3. 有没有代理可以修改响应参数的。

你可能感兴趣的:(发现知乎的一个Bug,并且我绕过了此Bug,沾沾自喜中...)