（来源于：PerimeterX）

假如你仍在应用 2019 年 3 月公布的 Chrome 73、及其 2020 年 7 月前的 Chrome 83，还请尽早升级至已修补 CVE-2020-6519 漏洞的 Chrome 84 。

据了解，做为一项 Web 规范，內容安全策略（CSP）致力于阻拦一些种类的进攻，例如跨站脚本 *** （XSS）和数据信息引入（data-injection）。

CSP 容许 Web 管理人员特定浏览器可执行脚本 *** 的合理源范畴，便于兼容该规范的浏览器仅执行可靠来源于的脚本 *** 载入实际操作。

浏览器易受攻击，但网址并不那样。

Weizman 在周一公布的调查报告中强调：“CSP 是网址使用者用以执行数据信息安全策略、以避免在其网址上执行故意身影编码的关键方式，因此当其绕开浏览器时，普通用户的数据信息就遭遇着风险性”。

现阶段大部分网址早已客观事实 CSP 內容安全策略，包含大伙儿熟识的 ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo 和 Zoom 等互联网大佬。

但是一些著名的网站得到避免，包含 GitHub、Google Play 店铺、领英 LinkedIn、PayPal、Twitter、yahoo登陆页面、及其 Yandex 。

要利用此漏洞， *** 攻击务必先根据暴力破解密码或其他方式来浏览 Web *** 服务器，便于可以改动其 JavaScript 编码。

随后 *** 攻击能够在 JavaScript 中加上 frame-src 或 child-src 命令，以容许引入编码并强制性载入执行，进而绕开网站 CSP 內容安全策略的安全防护。

虽然该漏洞被 CvSS 评定为中等水平比较严重级别（6/10），但因为它会危害 CSP 的执行，因而具备了更普遍的实际意义。换句话说，当机器设备悲剧有没有中招时，安全事故导致的危害将比较严重得多。

举个事例，若 CSP 对策恰当，网址仍可限定对该类比较敏感信息的浏览。但以相近的 *** ，故意 Web 开发人员可利用第三方脚本 *** ，向支付网页页面充注一些附加的作用。

更槽糕的是，这一漏洞已在 Chrome 浏览器中存有了一年之上，直至近日才获得完全修补。因此 Weizman 警示称，该漏洞的所有危害尚不广为人知。

最终，为防止遭到该类进攻而造成 个人信息信息（PII）等比较敏感数据泄漏，还请大伙儿马上将浏览器升級到最新版。

宣传媒体：cnBeta.COM