●概述：
適用於windows、Mac、Linux等平台的瀏覽器Google Chrome，月前經資安研究員Michał Bentkowski分析察覺一個極嚴重漏洞，Chrome安全團隊援例對技術細節守口如瓶，僅描述原因係CSP header處理過程有誤，Content Security Policy(CSP)是外加保護層，以許可或阻擋之機制，管制瀏覽器能否對各型態資源載入執行，若CSP header出錯，代表保護層失效，恐吸引攻擊者重啟諸般code injection手段，包括cross-site scripting與clickjacking，鑑此Google已更新Chrome版本，短期內用戶將修補完畢。
●編註：
(1)簡述Content Security Policy(CSP)
為了防堵大量XSS類型攻擊事件，Chrome整合Content Security Policy，即內容安全政策概念，提供強制落實安全規則之技術能力，治理各種能被程式載入且執行之內容型態，採用阻擋/許可機制定義資源能否被瀏覽器使用，CSP是額外保護層，而非Chrome基本功能，網頁設計師可將相關規則寫入HTTP header或是meta程式段，示意如下：
{ ...,
"content_security_policy": "[POLICY STRING GOES HERE]"
...,}

(2)Chrome瀏覽器弱點
經查Chrome瀏覽器存在嚴重漏洞，然Chrome安全小組對技術細節守口如瓶，僅輕描淡寫地指出原因係CSP header處理過程有誤，CSP header作用在於讓網管者能調節控制瀏覽器所能載入的資源，藉由許可設定手法，給網頁加蓋保護層，故CSP header錯誤，代表保護層失效，駭客能對Chrome重啟cross-site scripting與clickjacking，當然還有其餘代碼注入攻擊手段。