CVE-2016-5137 in Chrome信息

摘要

由 VulDB • 2026-06-07

WebKit/Source/core/frame/csp/CSPSource.cpp 中 Content Security Policy (CSP) 实现(在 Blink 中使用,适用于 Google Chrome 52.0.2743.82 之前的版本)中的 CSPSource::schemeMatches 函数未将 http:80 策略应用于 https:443 URL,也未将 ws:80 策略应用于 wss:443 URL,这使得远程攻击者通过读取 CSP 报告更容易确定是否访问过特定的 HSTS 网站。注意:此漏洞与 CVE-2016-1617 解决后的规范变更有关。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

来源

Do you need the next level of professionalism?

Upgrade your account now!