İçerik ve Güvenlik Politikası(CSP)

Siteler arası komut dosyası çalıştırma, tıklatma saldırısı gibi zafiyetleri engelliyor.
CSP web sunucunuzda bir güvenlik önlemi sağlıyor ve direktifleri kullanarak size bu konuda destek de veriyor.
Bunu bazı durumlarda atlatabilir ve script src ile içeriye js çağırıp dahil edebilirsiniz.
Link dahil edebildiğiniz bir ortam düşünün buraya .js ekleyebildiğiniz ve çalıştırılabildiğinde CSP bypasslanıyor.

Bir Hacker gibi düşünüp CSP’yi atlatmak için HTTP Header’da en basit olarak bunu görmelisiniz.

Content-Security-Policy: default-src https: data: 'unsafe-inline' 'unsafe-eval';

Atlatmak için kullanılabilir ve https şartı koyulmuş.

Kaynak : Csp Şakaya Gelmez
Kaynak : Volgactf 2018 neatly bypassing csp