5 月下旬，有安全研究人員發(fā)現(xiàn)谷歌 Chrome 中存在嚴重漏洞，影響所有主要操作系統(tǒng)（包括 Windows，Mac 和 Linux）的網(wǎng)頁瀏覽軟件。 在沒有透露有關(guān)該漏洞任何技術(shù)細節(jié)的情況下，Chrome安全團隊在本周三（6月6日）發(fā)布的一篇博客文章中指出，該漏洞被追蹤為CVE-2018-6148，是由于瀏覽器錯誤處理CSP響應(yīng)頭導(dǎo)致的。 CSP，英文全稱Content Security Policy，指的是內(nèi)容安全策略。 CSP官網(wǎng)是這樣介紹它的：“The new Content-Security-Policy HTTP response header helps you reduce XSS risks on modern browsers by declaring what dynamic resources are allowed to load via a HTTP Header.” 大體意思說的是，通過在HTTP的響應(yīng)頭中設(shè)定CSP規(guī)則，可以規(guī)定當(dāng)前網(wǎng)頁能夠加載的資源的白名單，從而減少網(wǎng)頁遭受跨站腳本（XSS）攻擊的風(fēng)險。因此，CSP可以說是一個在現(xiàn)代瀏覽器加載資源白名單的安全機制，只有響應(yīng)頭中白名單里列出的資源才能夠被加載和執(zhí)行，從而給網(wǎng)頁添加額外的安全層。 由于谷歌Chrome瀏覽器對CSP響應(yīng)頭的錯誤處理，導(dǎo)致攻擊者能夠在任何目標網(wǎng)頁上執(zhí)行跨站點腳本、點擊劫持和其他類型的代碼注入攻擊。 Chrome 安全團隊接到漏洞報告后，將其列為 CSP 頭相關(guān)的漏洞，并表示目前將保留漏洞細節(jié)，在大部分用戶更新修復(fù)之后才會放出。目前，針對Windows，Mac 和Linux 操作系統(tǒng)的最新穩(wěn)定版 Chrome 67.0.3396.79 已將漏洞補丁推送給用戶，提醒用戶盡快更新。

本文地址：http://www.gle-technology.com/safety/26836.html