[出自:jiwo.org]

Talos实验室在去年年底向微软提交了这个漏洞，在3月份的时候，微软表示这是设计使然，并不是个漏洞，但在6月份的时候，表示会重新考虑这个问题。

Talos实验室公告Edge浏览器安全绕过漏洞

Microsoft Edge 40.15063.0. 0 中的内容安全策略实施功能，存在可利用的信息泄漏漏洞。精心构建的网页可能导致内容安全策略绕过，最终导致信息泄漏。攻击者可以创建恶意网页来触发此漏洞。

CVSSv3 Score 4.3 - CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CWE CWE-284: Improper Access Control

https://www.talosintelligence.com/vulnerability_reports/TALOS-2017-0306

信息泄露漏洞原理

Content-Security-Policy 是让浏览器免于遭受来自网站的信息泄漏，但攻击可以绕过这个内容安全策略头部

通过使用window.open (""、"_blank") 加载一个新文档，然后使用document.write-ing ( about:blank) ，攻击者可以绕过对文档的 CSP 限制, 即原始页的 Javascript 代码正在运行, 并与其他站点联系。可以说, 代码是在 CSP 报头中以不安全的内联方式加载的, 但仍然应该阻止任何跨站点通信 (如1x1px 跟踪图像等)。

about:blank与其加载文档的来源相同, 但 CSP 限制已被删除。下面的w3c规范非常明确, 应继承 csp 限制:

https://w3c.github.io/webappsec-csp/#initialize-document-csp

测试表明, 例如 Firefox 不显示此行为, 而是让新文档从其加载文档继承 CSP。此漏洞也存在于苹果 Safari (CVE-2017-2419) 和谷歌 Chrome (CVE-2017-5033), 但在这两个浏览器中得到了修正。