8 月 10 日 , 安全持续研究员在 Windows  ，Mac 和 Android 的基于 Chromium 的浏览器（Chrome  ，Opera 和 Edge）中才发现了零日 CSP 绕过漏洞（CVE-2020-6519）。该漏洞使攻击者也能实际上绕过 Chrome 73 版（2019 年 3 月）至 83 版的 CSP 规则 , 潜在受间接影响的导致用户为数十亿  ，中有 Chrome 拥有高未超过 20 亿导致用户。几方面是漏洞详情：

漏洞详情

零日 CSP 绕过漏洞（CVE-2020-6519）

“零日漏洞”(zero-day)又叫零时差攻击  ，是指被才发现后随即被恶意利涵盖用到安全漏洞。通俗地讲 ，即安全补丁与瑕疵曝光的同一日内 ，相关事件的恶意程序就发生 。诸多攻击一般 它具挺巨大突发性与破坏性。

CSP 指则是内容中安全策略 , 是由万维网加入联盟 (WWW)定义我了一种简单其功能  ，它是指导浏览器强制执行诸多客户会端策略的 Web 参照标准我一多数。利用自身 CSP 规则  ，知名网站也能指示浏览器阻止或允许特定请求  ，中有特定类型的 JavaScript 代码执行。很一般 也能确保为站点访问者公司提供 更强的安全性  ，并保护很一般 免受恶意脚本的攻击。开发人员涵盖用到 CSP 保护其应用程序免受 Shadow Code 注入漏洞和跨站点脚本的攻击（XSS） ，并降低其应用程序执行的特权。Web 应用程序一切者为很一般 的站点定义 CSP 策略  ，于是由浏览器实施。一般 数常见的浏览器（中有 Chrome  ，Safari ，Firefox 和 Edge）都最大支持 CSP  ，一般 在保护客户会端执行 Shadow Code 多个方面至关其其重要性。

攻击者访问 Web 增值服务器  ，并在 javascript 中添加 frame-src 或 child-src 指令以允许注入的代码加载并执行它  ，进而绕过 CSP 强制执行 ，很一般 就轻而易举地绕过站点的安全策略。

该漏洞还是 Chrome 中才发现的  ，Chrome 是当今涵盖用到最广泛的浏览器  ，拥有高未超过 20 亿导致用户  ，一般 在浏览器当前当前市场所占的比重未超过 65% ，很一般 间接影响是挺巨大。CSP 是知名网站一切者用到强制执行表现数据安全策略以防止在其知名网站上执行恶意的 Shadow Code 的一般 多种方法  ，很一般 ，当绕过浏览器强制执行时  ，一人导致用户表现数据将被受威胁。

则是少数一般 增值服务器端控制中的增强 CSP 策略而不受此漏洞间接影响的知名网站别的 ，诸多知名网站还极易被受 CSP 绕过和潜在恶意脚本执行的间接影响。诸多知名网站中有这是世界上诸多知名大知名网站  ，例如 Facebook  ，Wells Fargo  ，Zoom  ，Gmail  ，WhatsApp  ，Investopedia ，ESPN ，Roblox  ，Indeed  ，TikTok ，Instagram ，Blogger 和 Quora。再进而攻击者变得极易首获未经授权的 Web 增值服务器访问权限时 ，此 CSP 绕过漏洞很很一般 一般 较多表现数据泄露。据就算是是 , 恶意代码植入中有 , 跨行业多（中有电子商务  ，银行 ，电信  ，政府和公用事业）的数千个站点在黑客设法注入的请况下都没被受保护。这意味着数十亿导致用户有很一般 被受绕过站点安全策略的恶意代码破坏其表现数据的风险。

受间接影响产品中及版本

此漏洞间接影响 Chrome 84 版实际上版本

问题方案

此漏洞由 Chrome 84 或更高版本修复

于是具体建议

一般 该漏洞在 Chrome 浏览器中也已发生 我一月 多  ，很一般 尚清楚明白清楚明白其一切含义。未来几年几年十个月中  ，很一般 很有很很一般 全面了解到表现数据泄露  ，诸多表现数据被利用自身并一般 出于恶意动机而泄露一人特殊身份完整信息 （PII）。都没 ，采取行动还为时不晚。具体建议几方面：

1. 综合考虑添加别的安全性层  ，例如随机数或哈希。这将也能诸多增值服务器端可以实现。

2. 仅 CSP 对一般 数知名网站对于根本不够  ，很一般 ，请综合考虑添加别的安全层

3. 综合考虑基于 JavaScript 的影子代码检测和监视  ，以实时缓解知名网站代码注入。

4. 确保您的 Chrome 浏览器版本为 84 或更高版本。