Pagina 1 di 1
La Content Security Policy non sostituisce l'output encoding, ma è il livello che blocca XSS quando il primo fallisce per dimenticanza o bug. Configurata bene rende lo sfruttamento di una XSS molto più complesso: niente inline script, niente eval, niente esfiltrazione verso domini arbitrari. Configurata male rompe la UI e basta.
In questa categoria scrivo di CSP applicata: implementazione in Laravel e Symfony con nonce per inline script legittimi, fase di report-only per scoprire violazioni senza bloccare, hash-based vs nonce-based, gestione di iframe e media esterni, monitoring delle violazioni in produzione.
Se la tua applicazione non ha CSP o ce l'ha messa per nascondere il problema, parliamone. Oppure scopri come lavoro.
Lo XSS stored che ho trovato in un CMS proprietario di un cliente media non era ovvio: si attivava solo in un campo amministrativo raramente utilizzato. Il payload sopravviveva a tre livelli di sanitizzazione perché ognuno usava una libreria diversa. Vi mostro la catena di bypass e come costruire una CSP che regge. Continua a leggere
