我正在进行一个开源项目,并试图添加一个音频播放器来播放用户录制的音频。然而,由于主要开发人员对CSP的限制,由于default-src : 'none',它不允许我使用Blob作为音频源
为什么?没有XSS攻击的危险,对吧?怎么会有XSS攻击通过";src";它的属性?我不明白!
谢谢!
音频源不需要CSP。
您有CSP,它被设置为限制音频源(通过默认限制(。
CSP并不是为了排除某些类型的资源而设计的,因为人们认为它们总是安全的(直到出现错误意味着它们不是安全的(。如果默认情况下限制源,则包括音频源。
没有XSS攻击的危险,对吧?
CVE-2017-14450详细描述了图像解析库中的一个错误,GIF可能会触发缓冲区溢出(然后可用于任意代码执行(。
媒体文件通常是安全的,但不能保证。