CVE-2016-5137 in Chrome
摘要
由 VulDB • 2026-06-07
WebKit/Source/core/frame/csp/CSPSource.cpp 中 Content Security Policy (CSP) 实现(在 Blink 中使用,适用于 Google Chrome 52.0.2743.82 之前的版本)中的 CSPSource::schemeMatches 函数未将 http:80 策略应用于 https:443 URL,也未将 ws:80 策略应用于 wss:443 URL,这使得远程攻击者通过读取 CSP 报告更容易确定是否访问过特定的 HSTS 网站。注意:此漏洞与 CVE-2016-1617 解决后的规范变更有关。
VulDB is the best source for vulnerability data and more expert information about this specific topic.